Linux Security HOWTO <AUTHOR>Kevin Fenzi, <tt>kevin@tummy.com</tt> &ero; Dave Wreski, <tt>dave@linuxsecurity.com</tt> <DATE>v1.1.1, 17 March 2000 <TRANS>The Linux Japanese FAQ Project <TDATE>31 March 2000 <ABSTRACT>  このドキュメントでは, Linux システムの管理者が遭遇するセキュリティ関連事項についての一般的な解説を行います. このドキュメントでは, セキュリティに対する一般的な考え方と, Linux システムを侵入者からより安全にする方法の具体例を扱っています. また, セキュリティ関連の情報やプログラムへのポインタも含まれています.  改善, 建設的な批判, 追加, 訂正は歓迎します. フィードバックを著者両方に送ってください. その際にはサブジェクトに「Security HOWTO」という文字列を入れてください. </ABSTRACT> <TOC>   <SECT> はじめに  このドキュメントでは, Linux のセキュリティに関わる主な話題をいくつか扱います. 一般的な考え方とネット上で生まれたリソースについて議論します.  他の HOWTO ドキュメントの多くとセキュリティの話題で重なる部分がありますが, こういったドキュメントは適当な場所で示します.  このドキュメントは, 最新の問題を扱うものでは「ありません」. 常に新しい被害がたくさん起きています. このドキュメントは最新の情報をどこで見れば良いのかを示し, そのような悪用をされないための一般的な方法を示します.   <SECT1>このドキュメントの最新版について  このドキュメントの最新版は定期的に <it>comp.os.linux.answers</it> に投稿されます. また, 以下に示すような, ドキュメント関連の情報を集めているサイトにも置かれるでしょう: <tt> <htmlurl url="http://www.linuxdoc.org/" name="http://www.linuxdoc.org/"> </tt>  また, Linux のウェブページでも本ドキュメントを見つけることができるでしょう. <tt> <htmlurl url="http://metalab.unc.edu/mdw/linux.html" name="http://metalab.unc.edu/mdw/linux.html"> </tt>  最後に, 本ドキュメントの最新版(各種形式があります)は <tt> <htmlurl url="http://scrye.com/~kevin/lsh/" name="http://scrye.com/~kevin/lsh/"> </tt>  や <htmlurl url="http://www.linuxsecurity.com/docs/Security-HOWTO" name="http://www.linuxsecurity.com/Security-HOWTO">  または <htmlurl url="http://www.tummy.com/security-howto" name="http://www.tummy.com/security-howto"> といったサイトで入手できます. 訳注: 和訳は <htmlurl url="http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html" name="http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html"> にあります.   <SECT1> フィードバック  コメント, 誤りの報告, 追加情報, 批判などは以下のメールアドレスに送ってください: <tt> <htmlurl url="mailto:kevin@tummy.com" name="kevin@tummy.com"> </tt>  および <tt> <htmlurl url="mailto:dave@linuxsecurity.com" name="dave@linuxsecurity.com"> </tt>  注意: フィードバックは両方の著者に送ってください. また, Kevin が使っているスパムフィルタを避けるため, サブジェクトには "Linux", "security", "HOWTO" のいずれかを必ず入れてください. 訳注: 日本語訳に関する誤りの指摘や, フィードバックはしたいけれど英語は苦手だという方は JF プロジェクト(<tt><JF@linux.or.jp></tt>) までご連絡ください.   <SECT1>免責事項 No liability for the contents of this document can be accepted. Use the concepts, examples and other content at your own risk. Additionally, this is an early version, possibly with many inaccuracies or errors. A number of the examples and descriptions use the RedHat(tm) package layout and system setup. Your mileage may vary. As far as we know, only programs that, under certain terms may be used or evaluated for personal purposes will be described. Most of the programs will be available, complete with source, under <url url="http://www.gnu.org/copyleft/gpl.html" name="GNU"> terms. <em/訳注/: 日本語訳も挙げておきますが, これはあくまで参考です. 本ドキュメントの内容についての責任は一切持ちません. あなた自身の責任で概念, 実行例, その他の内容を利用してください. また, 本ドキュメントは書いたばかりのバージョンなので, おそらく不正確な部分や間違いがあると思われます. 例および説明の多くは Red Hat (tm) パッケージに基づいています. 読者の使用しているパッケージによって手順が変わることがあるでしょう. 筆者の知っている限りで, 個人目的で使用あるいは評価ができる使用条件のプログラムについて解説します. ほとんどのプログラムは <url url="http://www.gnu.org/copyleft/gpl.html" name="GNU"> の条項に従い, 完全なソースコード付きで配布されています.   <SECT1>著作権表示 This document is copyrighted (c)1998-2000 Kevin Fenzi and Dave Wreski, and distributed under the following terms: <ITEMIZE> <ITEM> Linux HOWTO documents may be reproduced and distributed in whole or in part, in any medium, physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the authors would like to be notified of any such distributions. <ITEM> All translations, derivative works, or aggregate works incorporating any Linux HOWTO documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator at the address given below. <ITEM> If you have questions, please contact Tim Bynum, the Linux HOWTO coordinator, at </ITEMIZE> <tt> <htmlurl url="mailto:tjbynum@metalab.unc.edu" name="tjbynum@metalab.unc.edu"> </tt> <em/訳注/: 日本語訳も挙げておきますが, これはあくまで参考です. Copyright (c)1998-2000 Kevin Fenzi and Dave Wreski このドキュメントは Kevin Fenzi と Dave Wreski の著作物であり, 以下の条項に基づいて配布されています: <itemize> <ITEM> Linux HOWTO ドキュメントは, この著作権表示が全ての複製物に残されている限り, 全体あるいは一部分を複製・配布すること, 任意の物理メディアや電子メディアで複製・配布することができます. 商業的な再配布は奨励されていますが, このような配布を行う場合には著者らに連絡することを希望します. <ITEM>翻訳, 派生物, Linux HOWTO ドキュメントのいずれかを集めた収集物全てはこの著作権表示に従わなければなりません. つまり, HOWTO ドキュメントから派生したドキュメントを作り, これに制限を追加することはできません. 特定の条件の下では, これらの規則には例外が認められます. 以下にアドレスを示す Linux HOWTO の世話人と相談してください. <ITEM>疑問点があれば, Linux HOWTO の世話人である Tim Bynum までご連絡ください. アドレスは以下に示します. </ITEMIZE> <tt> <htmlurl url="mailto:tjbynum@metalab.unc.edu" name="tjbynum@metalab.unc.edu"> </tt>  <SECT1> 日本語訳について 日本語訳は Linux Japanese FAQ Project が行いました (藤原輝嘉 <fujiwara@linux.or.jp> (日本語訳), 長谷川靖 <yaz-hase@qb3.so-net.ne.jp> (校正), 関戸幸一 <sekido@mbox.kyoto-inet.or.jp> (校正, 訳注), 菱川功 <ike@whitedragon.org> (校正, 訳注), 高城正平 <takavoid@palette.plala.or.jp> (校正) 森本淳 <morimoto@xantia.citroen.org> (v1.1.1 追従) ). 日本語訳に関する権利は原文に準ずるものとします.  <SECT> 概要   本ドキュメントでは, Linux システムをより安全にするための方法と, よく使われるソフトウェアについて解説します. 具体的な内容に入る前に, 基本的な概念について議論し, セキュリティの基礎を押えておくことにしましょう.  <SECT1> なぜセキュリティが必要なのか   常に変化し続ける, グローバルなデータ通信, 安価なインターネット接続, 速いペースのソフトウェア開発の世界の中で, セキュリティはより重要になりつつあります. グローバルコンピューティングは本質的に危険なので, セキュリティは今や基本的な要件です. 例えばデータが A 地点から B 地点までインターネット上で送られる場合を考えると, データは経路の途中で他の地点を通るので, 他人がデータを傍受や改竄さえしてしまう可能性があります. 同じシステム上のユーザでさえ, あなたのデータを悪意を持って意図しないようなものに変えてしまうかもしれません. 「クラッカー」として知られる侵入者に, システムのアクセス権を不正に得られてしまうかもしれません. クラッカーはあなたになりすますために高度な知識を用い, あなたからデータを盗んだり, あなたが自分自身のデータにアクセスできないようにしてしまいます. あなたが「ハッカー」と「クラッカー」の違いが分かっていないようであれば, Eric Raymond 氏の書かれた「ハッカーになる方法(How to Become A Hacker)」をご覧ください. (<htmlurl url="http://www.netaxs.com/~esr/faqs/hacker-howto.html" name="http://www.netaxs.com/~esr/faqs/hacker-howto.html"> で入手できます) 訳注: 「ハッカーになる方法 (How to Become A Hacker)」の日本語訳は <htmlurl url="http://www.linux.or.jp/JF/JFdocs/hacker.txt" name="http://www.linux.or.jp/JF/JFdocs/hacker.txt"> または <htmlurl url="http://www.post1.com/home/hiyori13/freeware/hacker.html" name="http://www.post1.com/home/hiyori13/freeware/hacker.html"> で入手できます.  <SECT1> どの程度安全なら安全なのか?   最初に, 完全に安全なコンピュータシステムは存在しないことを覚えておいてください. できるのは, 何者かがシステムを悪用するのをより困難にすることだけです. 普通の Linux のホームユーザならば, 偶然やってくるクラッカーを防ぐのはそれほど大変ではありません. とはいえ, Linux を重要な仕事に使っている場合(銀行, 通信業者など)には, ずっと多くの作業が必要になるでしょう.  考慮に入れるべき別の要素として, セキュリティを高めれば高めるほど, セキュリティが邪魔になることが挙げられます. そこで, 目的に対して十分使いやすくかつ安全なシステムとなるようバランスをとってやらなければなりません. 例えば, あなたのシステムに電話回線で接続してくるユーザ全てにコールバックモデムを使ってもらい, 彼らの家にコールバックするようにすることができます. これにより安全な運用をおこなえますが, ユーザが家にいないようなケースではログインが困難になってしまいます. Linux システムをネットワークやインターネットに繋がない設定も可能ですが, これでは便利さも損なわれてしまいます.  中～大規模のサイトならば, サイトがどの程度のセキュリティを必要としていて, これをチェックするためどんな監査を行うのかというセキュリティポリシーを決めるべきです. 有名なセキュリティポリシーの例は <htmlurl url="http://core.ring.gr.jp/pub/doc/rfc/rfc2196.txt" name="http://core.ring.gr.jp/pub/doc/rfc/rfc2196.txt">です. これは最近改定されており, 会社のセキュリティポリシーを作る際の良い枠組になります. 訳注: 日本語訳が <htmlurl url="http://www.ipa.go.jp/SECURITY/rfc/RFC2196-00JA.html" name="http://www.ipa.go.jp/SECURITY/rfc/RFC2196-00JA.html"> にあります.  <SECT1> 何を守るのか?   システムを安全にしようとする前に, まず, どの程度のレベルの脅威から自身を守るのか, どの程度のリスクを冒すべきなのか (あるいは冒すべきでないのか), 結果的にシステムはどの程度脆弱なままにするのかを決めなくてはなりません. 何を守るのか, なぜそれを守るのか, それにどんな価値があるのか, データや他の財産に対しての責任は誰が負うのかを知るために, システムを解析すべきです. <ITEMIZE><ITEM>  リスクとは, 侵入者がシステムへのアクセスに成功する可能性です. 侵入者はファイルの読み書きをしたり, 害をなすプログラムを実行できるでしょうか? 重要なデータを消すことができるでしょうか? 重要な仕事の妨害ができるでしょうか? 忘れてはならないのは, 誰かがあなたのアカウントやシステムへのアクセス権を手に入れてしまえば, その人はあなたになりきることができてしまうということです.  加えて, 安全でないアカウントがシステム上にひとつあれば, 結果的にネットワーク全体が悪用される可能性があります. <tt>.rhost</tt> ファイルを使ったログインを許可しているユーザがいたり, <tt>tftp</tt> のような安全でないサービスを使っている場合, 侵入者がこれらを利用して「ドアの中に足を踏み入れる」危険を背負うことになります. いったん侵入者があなたや他の誰かのシステムのアカウントを手に入れれば, それは他のシステムや他のアカウントにアクセスするために利用されるかもしれません. <ITEM>  脅威は概して, 誰かがネットワークやコンピュータに許可なしにアクセスしようとすることから生じます. 誰を信用してあなたのシステムにアクセスさせるのか, そしてその人がどのような脅威をもたらすのかを考えておかなければなりません.  侵入者にはいくつかのタイプがあります. その特徴を知っておくと, システムを安全にするのに役立つでしょう. <ITEMIZE>  <ITEM><bf>好奇心</bf> - このタイプの侵入者は基本的に, あなたがどんなシステムやデータを持っているのかを知ることに興味を持っています. </item>  <ITEM><bf>悪意</bf> - このタイプの侵入者は, あなたのシステムをダウンさせたり, ウェブページに落書きをするなど, 復旧に金や時間がかかることをしようとします. </ITEM>  <ITEM><bf>名声</bf> - このタイプの侵入者は, 名声や悪名を得るためにシステムに侵入しようとします. 自分の能力を宣伝するために, 名の通ったシステムに侵入しようとします. </item>  <ITEM><bf>競争相手</bf> - このタイプの侵入者は, あなたがシステム上にどんなデータを置いているのかに興味を持っています. この侵入者は, あなたが金銭的あるいはそれ以外の方法で利益をもたらす何かを持っていると思っているのでしょう. </item>  <ITEM><bf>借用</bf> - このタイプの侵入者はあなたのシステムに作業場を作り, その資源を自分のために使うことに興味を持っています. 彼らは普通はチャットや IRC サーバ, ポルノアーカイブのサーバ, 果てには DNS サーバまで実行します.  <ITEM><bf>踏台</bf> - このタイプの侵入者は, あなたのシステムを使って他のシステムに侵入することしか考えていません. あなたのシステムの接続状態が良かったり, 多数の内部システムに継っているゲートウェイならば, このタイプの侵入者によく狙われるかもしれません. </ITEMIZE><ITEM>  システムの脆弱さは, あなたのコンピュータが他のネットワークからどの程度守られているかということや, 誰かが不正なアクセスをする潜在的な可能性を示します.  何者かがシステムに侵入した場合, 何が問題となるのでしょうか? 当然ながら, 家庭から PPP でダイアルアップ接続しているユーザの問題と, 会社のマシンをインターネットや他の大規模ネットワークに繋いでいる人々の問題は異なります.  失ったデータを復旧あるいは再び作成するのにどれくらいの時間が必要でしょうか? ちゃんと初期投資をしておけば, 後で失ったデータを再作成するはめになったときにかかる時間は 10 分の 1 に節約できます. バックアップの計画をチェックし, あとでデータの検証をしていますか? </ITEMIZE>  <SECT1> セキュリティポリシーの作成   ユーザが容易に理解して守ることができる, 簡単で一般的な方針を決めましょう. この方針は大切なデータやユーザのプライバシーを守ってくれるでしょう. これに加えて考えるべきことは, 誰がシステムにアクセスできるのか (自分の友人に自分のアカウントを使わせていいのでしょうか?), 誰がシステムにソフトウェアをインストールすることができるのか, 誰がどのデータを所有するのか, それから事故時の復旧やシステムの適切な使いかたについてです.  一般に受け入れられているセキュリティポリシーは次の言葉から始まります.  <quote><bf> "許されていないことは禁止されている"</bf> </quote>  これは, あるサービスをユーザに対して認めていない場合, 許可を出すまではユーザはそのサービスを使うべきではないということです. 正規ユーザアカウントに適用するポリシーを確認しましょう. 「えっと, パーミッションの問題がわからないので, root で実行しよう」などと言うことは, 明らかなセキュリティホールになりますし, 今まで不正使用されたことのないセキュリティホールにさえなるかもしれません.  <htmlurl url="ftp://core.ring.gr.jp/pub/doc/RFC/rfc1244.txt" name="rfc1244"> は独自のネットワークセキュリティポリシーを作るための指針が書かれたドキュメントです.  <htmlurl url="ftp://core.ring.gr.jp/pub/doc/RFC/rfc1281.txt" name="rfc1281"> はセキュリティポリシーの例を示したドキュメントであり, 各ステップの詳細な説明が付いています.  最後に, <htmlurl url="ftp://coast.cs.purdue.edu/pub/doc/policy" name="ftp://coast.cs.purdue.edu/pub/doc/policy"> にある COAST ポリシーアーカイブを調べ, 実生活でのセキュリティポリシーがどのようなものかを見ると良いでしょう.  <SECT1> 自分のサイトを安全にすることの意義   本ドキュメントでは, あなたが作ってきた貴重な財産 (ローカルマシン, データ, ユーザ, ネットワーク, あなたの評判) を守るための方法を議論します. 侵入者があなたのユーザのデータを消してしまったら, あなたの評判はどうなるでしょう? あなたのウェブページに落書きをされてしまったらどうなるでしょう? また, あなたの会社の次の四半期の計画をばらされてしまったら? ネットワークのインストールを考えているならば, 1 台のマシンをネットワークにつなぐ前に, 考慮すべき要素はたくさんあります.  あなたがダイアルアップ PPP アカウントを使っていたり, ごく小規模なサイトを運営している場合であっても, 侵入者があなたのシステムに興味を持たないとは限りません. 標的にされるのは, 大規模で有名なサイトだけではありません. 多くの侵入者は規模に関係なくできるだけ多くのサイトを不正使用しようとします. 加えて, 侵入者はあなたが接続する先のサイトにアクセスするため, あなたのサイトのセキュリティホールを突くかもしれません.  侵入者は時間を持て余しており, あなたがどんなにシステムを隠蔽しても, 推測するのではなく, 単に全ての可能性を試してしまいます. 侵入者があなたのシステムに興味を持つ理由は他にもたくさんありますが, それについては後で議論します.  <SECT2> ホストのセキュリティ   管理者が最も集中するセキュリティの分野は, おそらく個々のホストに基づく部分でしょう. これは基本的に, 自分自身のシステムの安全を確保し, 自分のネットワーク上の他のホストも同様であろうと期待することです. 良いパスワードを選び, LAN へのサービスを安全に行い, きちんとログを取り, セキュリティに問題があることが知られているプログラムのバージョンアップを行うのは, ローカルのネットワーク管理者が責任を持って行うべきことです. これは絶対に必要なことなのですが, ネットワークの規模が数台規模より大きくなると実施が大変になってしまいます.  <SECT2> ローカル・ネットワークのセキュリティ   ネットワークのセキュリティは, 手元にあるホストのセキュリティと同じく必要なことです. 何百, 何千, あるいはそれ以上のコンピュータが同じネットワークにある場合, そのそれぞれが安全であると信頼することはできません. 許可されたユーザしか自分のネットワーク資源にアクセスできないようにし, 防火壁を構築し, 強力な暗号を使用し, 「たちの悪い」マシンや安全でないマシンがネットワーク上に無いようにすることは, 全てネットワーク管理者の任務です.  本ドキュメントではサイトを安全にするために使われる技術のいくつかについて議論し, 守るべきものを侵入者にアクセスさせないようにする方法をいくつか示します.  <SECT2> 隠蔽によるセキュリティ   議論すべきセキュリティのタイプの 1 つは「隠蔽によるセキュリティ」です. これは例えば, セキュリティ的な弱点が知られているサービスを標準でないポートに移動させ, 攻撃者に存在がばれないようにして悪用を避けようとするものです. このようなものは心配しなくても攻撃者が見つけて悪用してくれます. 隠蔽によるセキュリティは, セキュリティ的には全く無意味です. 単に小規模なサイトや比較的無名なサイトであるからといって, 侵入者があなたの持っているものに興味を持たないわけではありません. 次の章で, あなたが守るものについて議論します.  <SECT1> 本ドキュメントの構成   本ドキュメントはいくつもの章に分かれています. 各章でセキュリティのおおまかな話題を押さえます. 最初の話題は <ref id="physical-security" name="物理的なセキュリティ">で, マシンそのものを物理的にいじられないようにするための方法です. 第 2 の話題は <ref id="local-security" name="ローカルのセキュリティ">で, ローカルユーザがシステムを改竄するのを防ぐ方法です. 3 番目の話題は <ref id="file-security" name="ファイルとファイルシステムのセキュリティ"> で, ファイルシステムとファイルのパーミッションの設定の方法を示します. 次の話題は <ref id="password-security" name="パスワードのセキュリティと暗号化">で, マシンやネットワークをより安全にするための暗号の使い方を議論します. <ref id="kernel-security" name="カーネルのセキュリティ">では, マシンをより安全にするために設定あるいは意識すべきカーネルオプションについて議論します. <ref id="network-security" name="ネットワークのセキュリティ">では, Linux システムを外部ネットワークからの攻撃に対してより安全にする方法を解説します. <ref id="secure-prep" name="セキュリティの準備">では, マシンをネットワークに繋ぐ前の準備のやりかたについて議論します. 次の<ref id="after-breakin" name="システムに侵入された/されている場合の対応"> では, システムに侵入されつつあることや侵入が最近に起こったことに気づいた場合にすべきことを議論します. <ref id="sources" name="セキュリティに関する情報源">では, セキュリティに関する基本的な情報源をいくつか示し, Q & A の章である<ref id="q-and-a" name="よく聞かれる質問"> ではよく聞かれる質問いくつかに対する回答を示します. 最後に <ref id="conclusion" name="最後に"> にて結びの言葉を述べます.  本ドキュメントを読んで理解していただきたいポイントは主に 2 つあります. <ITEMIZE> <ITEM>  システムに注意を払いましょう. <tt>/var/log/messages</tt> 等のシステムログをチェックし, システムを見張りましょう. <ITEM>  最新バージョンのソフトウェアをインストールし, セキュリティの警告が出されればソフトウェアをアップグレードして, システムを常に最新の状態にしましょう. 単純にこうするだけで, システムは劇的に安全になります. </ITEMIZE>   <SECT> 物理的なセキュリティ<label id="physical-security">  最初に考慮すべきセキュリティの層は, コンピュータシステムの物理的なセキュリティです. 誰がマシンへ直接触ることができるのか? 触ることができるべきなのか? また, 彼らがマシンをいじれないよう守れるのか? あるいは守るべきなのか?  物理的なセキュリティがどの程度必要になるかは, 大抵の場合, 状況や予算によって決まります.  もしあなたがマシンを自分の家で使っているのならば, たぶん注意すべきことはあまりないでしょう (子供やうるさい親戚からマシンを守る必要はあるかもしれませんが). 研究室ならば, かなり注意しなければならないでしょうが, ユーザはそのマシンで仕事をできる必要があります. そのためには以下の各章が参考になるでしょう. あなたがオフィスにいるならば, 終業後やあなたが席を離れているときにマシンを安全にしておく必要があるかもしれませんし, その必要は無いかもしれません. 会社によっては, コンソールを放置することはクビにされる程の規則違反です.  ドアの施錠やケーブル, 鍵付きのキャビネット, ビデオ監視装置等のわかりやすい物理的な防御方法は全て良い考えなのですが, このドキュメントの守備範囲ではありません :-)   <SECT1>コンピュータへの施錠  最近の PC ケースの多くには「鍵」が付いています. 普通はケースの前面に鍵穴があり, 鍵を施錠か解除の位置にセットできるようになっています. ケースの鍵によって, 何者かが PC を盗んだり, ケースを開けて直接ハードウェアをいじったり盗んだりすることを防ぐことができます. ケースによっては, 他の誰かのフロッピーディスクや他の機器によるマシンの再起動を防ぐことができます.  マザーボードのサポートやケースの作りによっては, ケースの鍵で色々なことができます. 多くの PC ではケースを開けるためにはこれを壊さなくてはなりません. また, 新しいキーボードやマウスを挿せないものもあります. 詳しくはマザーボードやケースの説明書を読んでください. 通常, 鍵の質はとても低く, 攻撃者は偽造によって簡単に破ることができるのですが, それでも鍵はとても便利な機能になり得ます.  マシンによっては(特に Sun SPARC や Macintosh), 背面にドングル(dongle) が付いていて, これを通してケーブルを繋げば, ケーブルを切るかケースを壊さなければ攻撃者はケーブルを繋ぐことができません. これらに単に南京錠や連結錠を付けることで, マシンを盗もうとしている人への大きな抑止効果が得られます.   <SECT1>BIOS のセキュリティ  BIOS はもっともハードウェアに近いレベルのソフトウェアで, x86 ベースのハードウェアの設定及び操作を行います. LILO 等のブートローダは, BIOS にアクセスして Linux マシンをどうやってブートさせるか指示します. Linux の他のプラットフォームでも同様のソフトウェアがあります (Mac や新しい Sun の OpenFirmware, Sun の boot PROM 等). BIOS の設定で, 攻撃者がマシンを再起動して Linux システムを操作するのを防ぐことができます.  多くの PC BIOS では起動パスワードの設定をすることができます. これはそんなに安全ではありません (BIOS はリセットすることができますし, ケースを開けられるなら取り外すこともできるでしょう) が, 抑止効果は大きいでしょう (時間かせぎにもなりますし, システムをいじった痕跡も残るからです). 同様に S/Linux (SPARC(tm)プロセッサのマシン用の Linux)では, EEPROM を設定して起動パスワードをかけることができます. これで侵入者を足止めできるかもしれません.  多くの x86 マシンの BIOS では, この他にも役立つセキュリティ設定を色々指定できます. BIOS のマニュアルを調べるか, 次回のマシン起動時にチェックしてみましょう. 例えば, フロッピーディスクでの起動を禁止できる BIOS もありますし, 一部の設定にパスワードをかけることができる BIOS もあります.  注意: サーバマシンを管理していて, 起動パスワードを設定している場合, 人がいないとマシンは起動しません. 停電などの時は, マシンの所に行ってパスワードを打ち込んでやる必要があることを覚えておきましょう. ;-(   <SECT1>ブートローダのセキュリティ  色々なブートローダにも起動パスワードを設定することができます. 例えば LILO を使っている場合には, <tt>password</tt> と <tt>restricted</tt> の設定を調べてみましょう. <tt>password</tt> は起動時にパスワードを要求するようにします. <tt>restricted</tt> の場合は, <tt>LILO </tt> プロンプトに対してオプション (<tt>single</tt>等) を指定した場合だけ起動パスワードを要求するようになります.  lilo.conf のオンラインマニュアルより: <tscreen><verb> password=password 起動イメージごとのオプション `password=...' (下記参照) をすべてのイメージに適用します. restricted 起動イメージごとのオプション `restricted' (下記参照) をすべてのイメージに適用します. password=password イメージをパスワードで保護します. restricted 起動イメージにコマンドラインでパラメータを指定したとき (例: single) だけパスワードを要求します. </verb></tscreen>  パスワードを設定したら, これを忘れてはならないことに注意してください. :-) また, 気合いの入った攻撃者に対しては, このようなパスワードは単なる足止め程度にしかならないことも忘れてはいけません. この方法では誰かがフロッピーディスクから起動してルートパーティションをマウントすることを防ぐことはできません. ブートローダと組み合わせたセキュリティ手法を使う場合には, コンピュータの BIOS でフロッピーディスクからの起動を無効にすることができますし, BIOS をパスワード保護することもできます.  LILO 以外のブートローダ(<tt>grub</tt>, <tt>silo</tt>, <tt>milo</tt>, <tt>linload</tt> 等)のセキュリティ関連情報をご存知ならば, ぜひお知らせください.  注意: サーバマシンにパスワードを設定した場合, 人がいないとマシンは起動しなくなります. 停電などの場合でも, マシンのところに行ってパスワードを打ち込まなければならないことは覚えておきましょう. ;-(   <SECT1>xlock と vlock  頻繁にマシンから離れて出歩くならば, コンソールに「鍵」を掛け, 誰もマシンをいじったり, 作業の様子を覗けないようにしておくと良いでしょう. このようなプログラムとして, <tt>xlock</tt> と <tt>vlock</tt> の 2 つを紹介します.  <tt>xlock</tt> は X のディスプレイをロックします. X をサポートしている Linux ディストリビューションならば, 普通 xlock はインストールされているでしょう. オプションについてはオンラインマニュアルを参照してほしいのですが, 大まかに説明すると, ロックしたいコンソール上の xterm から <tt>xlock</tt> を起動すると, ディスプレイがロックされ, パスワードを入力しないと解除できなくなります.  <tt>vlock</tt> は Linux の仮想コンソールの一部あるいは全てをロックするための簡単なプログラムです. 現在作業中のコンソールを 1 つだけロックすることもできますし, 全てをロックすることもできます. 仮想コンソールを 1 つロックしている場合, 他の人はコンソールを使うことができます. ですが, ロックされている仮想端末はロックが解除されるまでは使うことができません. <tt>vlock</tt> は Red Hat Linux には入っていますが, 入っていないディストリビューションもあるかもしれません.  当然ながら, コンソールをロックすれば何者かにあなたの作業をいじられるのを防ぐことはできますが, マシンを再起動されたりしてやりかけの作業が壊されることは防げません. また, ネットワーク上の他のマシンからコンソールをロックしたマシンにアクセスして問題を起こすことを防ぐこともできません.  さらに重要な点としては, 誰かが X ウィンドウシステムから完全に抜けて通常の仮想コンソールのログインプロンプトに行くことや, X11 を起動した仮想コンソールに行き X をサスペンドさせ, ユーザの権限を奪ってしまうことを防げない点が挙げられます. ですから, 完全に xdm の制御下において使うことだけを考えるのがよいでしょう.   <SECT1>物理的な攻撃を受けたことの発見  まずは, マシンをいつ再起動したのか必ず記録するようにしましょう. Linux は頑健で安定な OS ですから, あなたがマシンを再起動するのは OS のアップグレードやハードウェアの交換等の時だけでしょう. あなたが知らないうちにマシンが再起動されていたら, これは侵入者に悪用されたことの印かもしれません. 侵入者がマシンに物理的な攻撃をする手段の多くは, マシンを再起動したり, 電源を切ったりしなければならないからです.  ケースやコンピュータ周辺をいじられた兆候が無いかどうかチェックしましょう. 侵入者は普通ログから痕跡を消しますが, これらを全てチェックし, 矛盾が無いか調べるのも良いでしょう.  ログのデータを安全な場所 (きちんと守られたネットワーク内部の専用のログサーバ等) に置くのも良い考えです. あるマシンが悪用された場合には, ログデータはほとんど役に立たなくなるからです. というのも, 侵入者は大抵ログも書き換えてしまうからです.  syslog デーモンを設定して, ログを自動的に中央のログサーバに送るようにすることもできますが, これは通常は暗号化されずに送られます. したがって, 侵入者は転送されているデータを見ることができます. これにより, 公にするつもりのないネットワーク関係の情報が洩れてしまうかもしれません. データを送る際に暗号化することができる syslog デーモンもあります.  syslog のメッセージの偽造は容易である点にも注意してください. これを悪用するためのプログラムも出回っています. syslog はローカルホストから出されたと言っているネットワーク経由のログエントリであっても, 本当の送信元を示すことなく受け付けてしまいます.  ログを調べる際には以下の点に注意します.  <ITEMIZE> <ITEM>ログが短かったり, 不完全ではないか <ITEM>ログに記録されている時間はおかしくないか <ITEM>ログのパーミッションや所有者はおかしくないか <ITEM>システムそのものや, サービスの再起動は記録されていないか <ITEM>無くなっているログはないか <ITEM>おかしな場所から <tt>su</tt> やログインが行われていないか </ITEMIZE>  システムログデータについては, この HOWTO 内の <ref id="logs" name="後の章">で説明します.   <SECT> ローカルのセキュリティ<label id="local-security">  次にローカルユーザの攻撃に対するシステムのセキュリティについて考えます. そうです, ローカルのユーザに対してです.  ローカルユーザのアカウントの獲得は, 攻撃者が root のアカウントを破ろうとする際に最初に考えることの一つです. ローカルに対するセキュリティが甘ければ, 様々なバグやローカル向けのサービスのまずい設定を利用して, 一般ユーザの権限から root ユーザの権限へ「アップグレード」することができるのです. ローカルに対するセキュリティが強固であれば, 侵入者が越えなければならないハードルはまだ残ることになります.  ローカルユーザは, たとえ身元を詐称していなくてもシステムに被害を与えることができます. 知らない人, 連絡先のわからない人にアカウントを与えるのは, 非常に危険なことです.   <SECT1>新規アカウントの作成  アカウントを発行する際は, そのユーザが行う必要のある作業に対し, 必要最小限のアカウントを与えていることに留意すべきです. 息子 (10 才) にアカウントを与えるのならば, ワープロやお絵描きプログラムにはアクセスできるけれど, 自分のものでないファイルを削除できないユーザにすべきでしょう.  他人に Linux マシンに対して合理的にアクセスをしてもらうための, 便利な経験則があります.  <ITEMIZE> <ITEM> 必要最小限の権限しか与えないようにします <ITEM> いつ, どこからログインしたか, あるいはどこからログインすべきかに注意を払います <ITEM> 使われていないアカウントは削除したかどうか確認します <ITEM> 全てのコンピュータとネットワークで同じユーザ ID を使うとよいでしょう. これにより, アカウントの管理, ログデータの解析が容易になります. <ITEM> グループユーザ ID の作成は絶対に禁止すべきです. ユーザアカウントでは責任の所在が明らかですが, グループアカウントではそうではないからです. </ITEMIZE>  セキュリティを破るときに使われるローカルユーザのアカウントの多くは, 何ヵ月あるいは何年も使われていないものです. 誰も使っていないために, 理想的な攻撃の道具になってしまうのです.   <SECT1> root のセキュリティ<label id="root-security">  あなたのマシンで最も欲しがられるアカウントは, root (ユーパーユーザ) のアカウントです. このアカウントはマシン全体に対する権限を持ち, ネットワーク上の他のマシンに対する権限を持つこともあります. root のアカウントはできるだけ短時間の, 特定の作業だけで使用し, それ以外の時は一般ユーザとしてマシンを使用すべきです. root ユーザでログインしているとちょっとしたミスでも問題を起こしかねません. root 権限を持っている時間は短ければ短いほど安全です.  root 権限でマシンを壊してしまわないための仕掛けもいくつかあります. <ITEMIZE> <ITEM>  複雑なコマンドを実行するとき, 特に globbing を使う(* や ? などのワイルドカードを使用する)場合は, 失敗しても悲惨な結果にならない方法を最初にとりましょう. 例えば <tt>rm foo*.bak</tt> を実行したい場合は, まず <tt>"ls foo*.bak"</tt> を実行し, 考えているファイルだけが消されるようになっているか確認するのです. 危険なコマンドの代わりに <tt>echo</tt> が使えることもあります. <ITEM>  ユーザに対して <tt>rm</tt> コマンドのエイリアスを設定しておき, ファイルの削除の際に確認を行うようにします. <ITEM>  特定の作業 1 つを行うためだけに root になりましょう. 自分が, どうやって作業しようか考えているような状態だとしたら, root でやらなければならないことがはっきりするまでは, 一般ユーザに戻りましょう. <ITEM>  root ユーザのコマンドパスはとても重要です. コマンドパス (つまり PATH 環境変数) はシェルがプログラムを探すディレクトリを指定します. root ユーザ用のコマンドパスはできる限り制限すべきですし, 絶対に '.' (これは「カレントディレクトリ」を意味します) を PATH の指定に入れてはいけません. さらに, 書き込み可能なディレクトリを検索パスに入れてはいけません. というのも, そうなっていると攻撃者が検索パス上のファイルを書き換えたり置き換えたりでき, あなたがそのコマンドを次に使ったときに root 権限で動作させることができるからです. <ITEM>  root で rlogin/rsh/rexec コマンド群 (いわゆる r-ユーティリティ) を使ってはいけません. これらのコマンドは色々な攻撃の対象となるので, root のときに実行するのは実に危険です. root ユーザ用の <tt>.rhosts</tt> ファイルは決して作ってはいけません. <ITEM>  <tt>/etc/securetty</tt> には root がログインできる端末のリストが書かれています. (Red Hat Linux の)デフォルトでは, これにはローカルの仮想端末 (vty) だけが設定されています. このファイルにそれ以外の端末を追加するときには, 細心の注意を払ってください. 必要がある時でも一般ユーザとして (できれば <tt><ref id="ssh" name="ssh"></tt> 等の暗号化チャネル経由で) リモートログインし, それから <tt>su</tt> することができるはずなので, 直接 root としてログインできる必要はありません. <item>  root での作業は, 必ずゆっくり, 慎重に行いましょう. 作業の結果は大きな影響をもたらすかもしれません. コマンドを打ち込む前に, まず考えましょう! </ITEMIZE>  どうしても誰か (できれば非常に信頼している人) に root 権限を与える必要がある場合にも, これを補助するツールがあります. <tt>sudo</tt> を使えば, ユーザのパスワードを使って, 制限されたコマンド群を root の権限で使用させることができます. これにより, 例えば Linux マシンのリムーバブルメディアをユーザにイジェクトやマウントをさせるけれど, それ以外の root 権限は与えないようにすることができます. <tt>sudo</tt> は成功・失敗を含めて全ての <tt>sudo</tt> の試みをログに取ることができるので, 誰が何のためにどのコマンドを使ったか調査することができます. このため, <tt>sudo</tt> は多くのユーザが root 権限を持つような環境でもうまく利用することができます. なぜなら, システムに対して行われた変更を調べやすくしてくれるからです.  <tt>sudo</tt> を使って特定のユーザに特定目的のための特定の権限を与えることができますが, sudo には欠点がいくつかあります. sudo は, サーバの再起動やユーザの新規追加など, 限られた作業の組に対してだけ使うべきです. シェルエスケープができる任意のプログラムは, これを <tt>sudo</tt> を通して使ったユーザに root 権限を与えてしまいます. 例えば, 大部分のエディタがこれに該当します. また, /bin/cat のように無害なプログラムであってもファイルの上書きに使うことができるので, これを使って root 権限が破られることもあり得ます. <tt>sudo</tt> は権限を使わせるための手段と考えるべきであり, root ユーザをより安全にするために置き換えるものと期待してはいけません.   <SECT> ファイルとファイルシステムのセキュリティ<label id="file-security">  システムをネットワークに繋ぐ前に少し準備と計画を行うだけで, システムとその中のデータを守るのに役立つでしょう. <ITEMIZE> <ITEM>  ユーザのホームディレクトリに SUID/SGID したプログラムを置いて実行させる理由は全くありません. root 以外のユーザが書き込み可能なパーティションに対しては <tt>/etc/fstab</tt> で <tt>nosuid</tt> オプションを使いましょう. また, ユーザのホームパーティションや <tt>/var</tt> では <tt>nodev</tt> や <tt>noexec</tt> を使おうと考えるかもしれません. これらのオプションはプログラムの実行や, キャラクタデバイス・ブロックデバイスの作成を禁止します. これらはいずれにせよ必要無いはずです. <ITEM>  NFS を用いてファイルシステムをエクスポートしている場合は必ず, アクセスをできる限り厳しく設定してください. つまり <tt>/etc/exports</tt> でできる限り厳しいアクセス制限を行ってください. これはワイルドカードを使わないこと, root での書き込みアクセスを許可しないこと, できる限り読み取り専用でエクスポートするということです. <ITEM>  ファイル作成の <tt>umask</tt> をできる限り厳しく設定してください. <ref id="umask" name="umask の設定"> をご覧ください. <ITEM>  NFS 等のネットワークファイルシステムを用いてファイルシステムをマウントしているならば, 必ず /etc/exports で適切な制限を付けた設定にしてください. 普通は `nodev', `nosuid', それから多分 `noexec' が望ましいでしょう. <ITEM>  デフォルトの <tt>unlimited</tt> を認めるのではなく, ファイルシステムに制限値を設定しましょう. リソース制限を行う PAM モジュールと <tt>/etc/pam.d/limits.conf</tt> を使って, ユーザ別に制御することができます. 例えば, グループ <tt>users</tt> の制限は以下のようになります: <tscreen><verb> @users hard core 0 @users hard nproc 50 @users hard rss 5000</verb></tscreen>  この設定は, コアファイルの作成を禁止し, プロセスの数を 50 に制限し, メモリの使用量をユーザ 1 人あたり 5MB に制限するものです. <ITEM>  <tt>/var/log/wtmp</tt>, <tt>/var/run/utmp</tt> ファイルには, システムの全てのユーザのログイン記録が記録されています. このファイルは絶対いじられないようにしなくてはなりません. というのも, このファイルを使ってユーザ (あるいは侵入者である可能性がある人) がいつ, どこからシステムに入ったのかを知ることができるからです. このファイルのパーミッションは 644 にすべきです. この設定は通常のシステム操作に影響を与えません. <ITEM>  immutable ビットを使うと, 守らなくてはならないファイルを事故で消したり上書きすることを防ぐことができます. このビットを使って, 誰かがこのファイルに対するシンボリックリンクを作成するのを防ぐこともできます (こういったシンボリックリンクは今まで <tt>/etc/passwd</tt> や <tt>/etc/shadow</tt> の削除を含む攻撃の手段となってきました). immutable ビットの情報については, オンラインマニュアルの <tt>chattr(1)</tt> を参照してください. <ITEM>  SUID, SGID されたファイルがシステムにあるとセキュリティにとっては潜在的に危険なので, これらのファイルはきちんと監視していなければなりません. このようなプログラムは実行したユーザに特別な権限を与えるので, 安全でないプログラムが絶対にインストールされないようにする必要があります. クラッカーが好んで使うトリックとして, root に SUID されたプログラムをいじり, 元のセキュリティホールが塞がれても次回に使える裏口として, SUID されたプログラムを残しておく方法があります.  システム上の SUID/SGID されたプログラムを全て見つけ, それらがどうなっているかを監視します. 侵入者の可能性を示すこれらのファイルの変化に注意してください. システム上の SUID/SGID されたプログラムを全て見つけるには以下のコマンドを使います: <tscreen><verb> root# find / -type f \( -perm -04000 -o -perm -02000 \) </verb></tscreen>  Debian ディストリビューションは, SUID されたファイルが存在するかどうかを調べるジョブを毎晩実行します. そして, これを昨晩の実行結果と比較します. このログは <tt>/var/log/setuid*</tt> で参照できます.  怪しいプログラムは <tt>chmod</tt> を使って SUID や SGID のパーミッションを取り除くことができます. どうしても必要だと思った時にはパーミッションを戻すこともできます. <ITEM>  全てのユーザーが書き込み可能なファイル(特にシステムファイル)は, クラッカーがあなたのシステムにアクセスして, 修正することによりセキュリティホールとなりえます. さらに, 誰もが書き込めるディレクトリというものも, クラッカーが自由にファイルの追加・削除ができるため危険です. システム上にあるこのようなファイルの位置を特定するには, 以下のコマンドを使います: <tscreen><verb> root# find / -perm -2 ! -type l -ls </verb></tscreen>  それから, どうしてこれらのファイルが書き込み可能になったのかを確かめてください. 普通に操作している場合でも, <tt>/dev</tt> のいくつかのファイルやシンボリックリンク等を含めて, 誰でも書き込めるファイルがいくつかあります. したがって, <tt>! -type l</tt> を用いて, 先の <tt>find</tt> コマンドの結果からこれらを取り除いてください. <ITEM>  所有者のいないファイルも侵入者がシステムにアクセスした可能性を示します. 所有者がいないファイルや, どのグループにも属していないファイルは, 以下のコマンドで見つけることができます: <tscreen><verb> root# find / -nouser -o -nogroup -print </verb></tscreen> <ITEM>  <tt>.rhosts</tt> ファイルを見つけることも, システム管理者の日常業務の一部です. このファイルをシステムに設置するのは許可すべきでないからです. クラッカーがネットワーク全体にアクセスする可能性を得るためには, 安全でないアカウントが 1 つだけあれば良いということを忘れないでください. システム上の全ての <tt>.rhosts</tt> ファイルは以下のコマンドで見つけることができます: <tscreen><verb> root# find /home -name .rhosts -print </verb></tscreen> <ITEM>  最後になりますが, システムファイルのパーミッションの変更は, しようとしていることを必ず理解してからにしてください. 何かを動かすための楽な方法だからといって, ファイルのパーミッションを変えてはいけません. パーミッションを変える前には, ファイルのパーミッションがそうなっている理由を必ず理解してください. </ITEMIZE>   <SECT1>umask の設定<label id="umask">  <tt>umask</tt> コマンドを使って, システムのデフォルトのファイル生成モードを決めることができます. umask 値は設定したいファイルモードの 8 進数での補数になります. パーミッションに関する指定を何も行わずにファイルを生成すると, パーミッションを与えるべきでない何者かに対して読み書きのパーミッションを意図せずに与えてしまうかもしれません. 通常は <tt>umask</tt> 値の設定は <tt>022</tt>, <tt>027</tt>, <tt>077</tt> です. <tt>077</tt> は最も厳しい設定です. 通常は umask 値は <tt>/etc/profile</tt> で設定され, システムの全ユーザに適用されます. ファイル生成マスクは, 777 から希望の値を引き算することによって計算することができます. 言い換えると, umask 値が 777 であれば, 新しく生成されるファイルは誰に対しても読み書きと実行のパーミッションを持ちません. マスクが 666 ならば, 新しく生成されるファイルのモードは 111 となります. 例えば, 以下のような行を設定できます: <tscreen><verb> # Set the user's default umask umask 033 </verb></tscreen>  ただし, root ユーザの umask 値は必ず <tt>077</tt> にしてください. こうしておくと, <tt>chmod</tt> を使って明示的に変えない限り, 他のユーザの読み書きと実行は無効になります. umask 値に 033 を設定した場合には, 新しく生成されるディレクトリのパーミッションは 744 になります. この値は 777 から 033 を引いて得られたものです. umask 値 033 を用いて新しく生成されるファイルはパーミッション 644 を持ちます.  Red Hat を使っており, Red Hat のユーザ ID, グループ ID の作成方法 (User Private Groups) に従う場合, <tt>umask</tt> には <tt>002</tt> だけ設定していれば十分です. その理由は, デフォルトの設定で 1 グループに 1 ユーザしかいないためです.   <SECT1>ファイルのパーミッション  システム管理を行うべきでないユーザやグループの権限ではシステムファイルを変更できないようにしておくのは重要なことです.  UNIX はファイルとディレクトリのアクセス制御を 3 つの特性 (所有者, グループ, 全員)に分離しています. 常に一人だけを指す所有者, 任意の人数を指せるグループ, そしてそれ以外の全員です.  以下で UNIX のパーミッションを簡単に説明します:  所有権 (ownership) - あるノードやその親ノードのパーミッション設定をどのユーザ, グループが行うことができるのかを示します.  パーミッション(permissions) - ファイルに対して行うことができるアクセスの種類を決めるビット列. 組合せが同じでも, ディレクトリのパーミッションはファイルのパーミッションとは意味が異なることがあります.  読み出し(read): <ITEMIZE> <ITEM>ファイルの内容を見ることができる <ITEM>ディレクトリの内容を見ることができる </ITEMIZE>  書き込み(write): <ITEMIZE> <ITEM>ファイルの内容の追加, 修正ができる <ITEM>ディレクトリのファイルの消去やファイル移動ができる </ITEMIZE>  実行(execute): <ITEMIZE> <ITEM>バイナリのプログラムやシェルスクリプトを実行できる <ITEM>読み出しのパーミッションと組み合わせて, ディレクトリ内を調べることができる </ITEMIZE> <descrip>  <tag/テキスト保存属性: (ディレクトリ用)/  ディレクトリに適用する場合, 「sticky ビット」の意味はファイルに適用する場合と異なります. sticky ビットがディレクトリに設定されている場合に削除できるファイルは, そのディレクトリへの書き込み権限があったとしても, 自分が所有しているファイルか明示的に書き込み許可が与えられているファイルだけです. このビットは <tt>/tmp</tt> のようなディレクトリのために用意されたものです. このようなディレクトリは誰でも書き込みはできますが, 誰でも自由にファイル消去を認めるのは望ましくありません. ディレクトリを詳細表示すると, sticky ビットは <tt>t</tt> で表されます. </descrip> <descrip>  <tag/SUID 属性: (ファイル用)/  これはファイルへの SUID パーミッションを示します. ユーザ ID 設定アクセスモードが所有者のパーミッションで設定されており, かつそのファイルが実行可能であれば, これを実行したプロセスは, プロセスを起動したユーザではなく, ファイルを所有しているユーザに基づいてシステムのリソースにアクセスできます. これは各種 'buffer overflow' 攻撃の原因となります. </descrip> <descrip>  <tag/SGID 属性: (ファイル用)/  グループのパーミッションで設定されていれば, このビットはファイルの「グループ ID 設定」状態を制御します. これは SUID と同じように動作しますが, ユーザではなくグループが影響を受ける点が異なります. このビットに効果を持たせるためには, やはりファイルは実行可能でなければいけません. </descrip> <descrip>  <tag/SGID 属性: (ディレクトリ用)/  (<tt>chmod g+s <it>directory</it></tt> を行って) ディレクトリに SGID ビットを設定した場合, このディレクトリに作られたファイルはディレクトリのグループに設定されたグループを持ちます. </descrip>  あなた - ファイルの所有者 グループ - あなたが所属するグループ 全員 - 所有者でもグループのメンバでもない, システム上の全員  <bf>ファイルの例:</bf>  <tscreen><verb> -rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin 1番目のビット - ディレクトリか? (no) 2番目のビット - 所有者が読み出せるか? (yes, ユーザ kevin が可能) 3番目のビット - 所有者が書き込めるか? (yes, ユーザ kevin が可能) 4番目のビット - 所有者が実行できるか? (no) 5番目のビット - グループは読み出せるか (yes, users グループが可能) 6番目のビット - グループは書き込めるか? (no) 7番目のビット - グループは実行できるか? (no) 8番目のビット - 誰でも読み出せるか? (yes, 誰でも可能) 9番目のビット - 誰でも書き込めるか? (no) 10番目のビット- 誰でも実行できるか? (no) </verb></tscreen>  以下の行は, アクセス権の説明に必要な最小限のパーミッションを集めた例です. 実際には, ここに示した以上のパーミッションを与えることが必要かもしれませんが, これらのファイルに関する最小限のパーミッションが意味するところは次のようなものです:  <tscreen><verb> -r-------- 所有者に読み込みアクセスを許可します --w------- 所有者にファイルの修正と削除を許可します (そのファイルが入っているディレクトリの書き込みパーミッションを持つユーザは, ファイルの上書きや削除を行うことができます) ---x------ このプログラムの実行を許可します. シェルスクリプトの場合はこれだけでは足りず, さらに読み込みパーミッションが必要です. ---s------ 「実効ユーザ ID = 所有者」として実行を行います -------s-- 「実効グループ ID = グループ」として実行を行います -rw------T 「最終更新時刻」を更新しません. 通常はスワップファイルだけに使います. ---t------ 無意味です(以前 sticky ビットだったものです). </verb></tscreen>  <bf>ディレクトリの例:</bf>  <tscreen><verb> drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/ 1番目のビット - ディレクトリか? (yes, たくさんのファイルがある) 2番目のビット - 所有者は読み出せるか? (yes, ユーザ kevin が可能) 3番目のビット - 所有者は書き込めるか? (yes, ユーザ kevin が可能) 4番目のビット - 所有者は実行できるか? (yes, ユーザ kevin が可能) 5番目のビット - グループは読み出せるか?(yes, users グループが可能) 6番目のビット - グループは書き込めるか?(no) 7番目のビット - グループは実行できるか?(yes, users グループが可能) 8番目のビット - 誰でも読み出しできるか?(yes, 誰でも可能) 9番目のビット - 誰でも書き込めるか? (no) 10番目のビット- 誰でも実行できるか? (yes, 誰でも可能) </verb></tscreen>  以下の行は, アクセス権の説明に必要な最小限のパーミッションを集めた例です. 示したもの以外にも多くのパーミッションが必要だと思うかもしれませんが, これはこれらのファイルに対する最小限のパーミッションで記述できるはずです:  <tscreen><verb> dr-------- 内容は表示できますが, ファイルの属性は読み出せません d--x------ ディレクトリに入れ, 実行時に絶対パスの一部として使うことができます. dr-x------ 所有者がファイル属性を読み出すことができます d-wx------ カレントディレクトリでなくても, ファイルの生成/削除が行えます d------x-t 書き込み許可があっても他人はファイルを消すことを禁止します. /tmp で使われます. d---s--s-- 無意味です. </verb></tscreen>  システム設定ファイル (普通は <tt>/etc</tt> にあります) は通常, モードが <tt>640</tt> (-rw-r-----) で, root が所有者です. これはサイトにおけるセキュリティの要求にしたがって調整することができます. システムファイルはグループのメンバーないしは万人に書き込めるようにしていてはいけません. 一部のファイル (<tt>/etc/shadow</tt> 等) は root にしか読めない状態でなければなりませんし, 少なくとも <tt>/etc</tt> 内にあるディレクトリはその他のユーザがアクセスできてはいけません. <descrip>  <tag /SUID されたシェルスクリプト/  SUID されたシェルスクリプトはセキュリティに重大な危険を及ぼすので, カーネルはこれを無視します. そのシェルスクリプトがどれだけ安全だと思っていても, クラッカーに root のシェルを奪われてしまう可能性があります. </descrip>   <SECT1>システム整合性のチェック  ローカルからの (そしてネットワークからの) システムに対する攻撃を発見する別の良い方法は, <tt>Tripwire</tt>, <tt>Aide</tt>, <tt>Osiris</tt> のような, システムがいじられていないかどうかをチェックするプログラムを実行することです. これらは重要なバイナリや設定ファイル全てのチェックサムを取り, 参照値として正しいことが分かっている以前の値のデータベースと比較します. したがって, これらのファイルの変更は全て知ることができます.  この手のプログラムをフロッピーディスクにインストールし, このフロッピーを物理的に書き込み禁止にしておくとよいでしょう. こうしておけば, 侵入者にはシステム整合性チェックプログラムやデータベースを改竄することが不可能になります. いったんこの手のものを設定したら, これを通常のセキュリティ管理作業の一部として実行し, 何か変更がなされていないかチェックするとよいでしょう.  毎晩フロッピーディスク上のチェックプログラムを実行し, 朝にその結果をメールで送るように <tt>crontab</tt> を設定することもできます. 設定は以下のようになります. <tscreen><verb> # set mailto MAILTO=kevin # run Tripwire 15 05 * * * root /usr/local/adm/tcheck/tripwire </verb></tscreen>  実行結果は午前 5 時 15 分にメールで送られます.  整合性チェックプログラムは, いざとなってから気づくより前に侵入者を発見する天の配剤になり得ます. 一般的なシステムでは多くのファイルが変更されますので, クラッカーの動きや, 自分自身が行ったことに注意していなくてはなりませんから.  <tt>Tripwire</tt> のオープンソースなバージョンは <htmlurl url="http://www.tripwiresecurity.com" name="http://www.tripwiresecurity.com">にあります. 無料です. マニュアルとサポートは有料で入手することができます.  <tt>Aide</tt> は <htmlurl url="http://www.cs.tut.fi/~rammer/aide.html" name="http://www.cs.tut.fi/~rammer/aide.html"> にあります.  <tt>Osiris</tt> は <htmlurl url="http://www.shmoo.com/osiris/" name="http://www.shmoo.com/osiris/"> からどうぞ.   <SECT1>トロイの木馬  「トロイの木馬 (Trojan Horse)」はホメーロスのイーリアスに書かれている有名な計略に由来する名前です. 基本的な考え方は, 便利そうなプログラムやバイナリを用意しておき, これを他人にダウンロードさせて root ユーザとして実行させるというものです. これによって, 相手が気づかないうちにシステムを悪用することができます. 手に入れたバイナリが仕事をしている (とても役立っているかもしれません) と思っている間に, このバイナリが同時にセキュリティも破ってしまうのです.  したがって, マシンにプログラムをインストールする時には注意が必要です. Red Hat は MD5 チェックサムと PGP 署名を施した RPM ファイルを提供し, ユーザが本物のパッケージを入手しているのかどうかをチェックできるようにしています. 他のディストリビューションにも同様の仕組みがあります. 素性が知れず, ソースも提供されていないバイナリを root 権限で実行してはいけません! 誰もが調査できるようなソースコードを公開する攻撃者はほとんどいません.  手間はかかるかもしれませんが, プログラムのソースコードはその正式の公開サイトから入手するべきです. プログラムを root 権限で実行するならば, あなたか, あなたが信頼している人がソースコードを見て, 検査すべきです.   <sect1>パスワードのセキュリティと暗号化 <label id="password-security">  現在用いられているセキュリティ機能のうち最も重要なもののひとつがパスワードです. あなたとあなたのマシンのユーザの両方が, パスワードを安全で推測しにくいものにしておくことが大事です. 最近の Linux ディストリビューションのほとんどには, 簡単に推測できるパスワードは設定できないようになっている <tt>passwd</tt> プログラムが入っています. <tt>passwd</tt> プログラムが最新のもので, このような機能を持っているかどうか確かめておきましょう.  暗号化についての突っ込んだ議論は本書の範囲を越えてしまいますが, 入門程度ならば良いでしょう. 暗号化は大変便利ですし, たぶん今日では必須とさえ言えるでしょう. 非常に多くの種類のデータ暗号化の方法がありますが, それぞれが特徴を持っています.  ほとんどの UNIX(Linux も例外ではありません)は, DES (Data Encryption Standard) と呼ばれる片方向の暗号化アルゴリズムを主に使ってパスワードを暗号化しています. 暗号化されたパスワードは(普通)<tt>/etc/passwd</tt> か (少し一般的でないですが) <tt>/etc/shadow</tt> に保存されます. ユーザがログインしようとすると, 入力したパスワードは再び暗号化され, パスワードを格納しているファイルの該当項目と比較されます. これらが一致すればパスワードは同じはずなので, ログインが許可されます. DES は双方向の暗号化アルゴリズム (正しいキーを与えれば, 暗号化も復号化もできる)なのですが, ほとんどの UNIX が使っているのは DES の一種で片方向のアルゴリズムです. つまり, <tt>/etc/passwd</tt> (または <tt>/etc/shadow</tt>) の内容からパスワードを得るために暗号を解読することは不可能なはずです.  パスワードが十分にランダムでない場合, "Crack" や "John the Ripper" (<ref id="crack"> 章を参照)のような力任せの攻撃でもパスワードを推測できます. PAM モジュール (後述) を利用すれば, 別の暗号化ルーチン (MD5 など) を使用できます. Crack にも良い使い方があります. パスワードデータベースに対して定期的に Crack を実行し, 安全でないパスワードを見つけるのです. そして問題のあるユーザと話をして, パスワードを変えるように指導します.  良いパスワードの決め方に関する情報については <htmlurl url="http://consult.cern.ch/writeup/security/security_3.html" name="http://consult.cern.ch/writeup/security/security_3.html"> を参照してください.   <SECT1> PGP 及び公開鍵暗号  PGP 等に使われている公開鍵暗号は, ある鍵を暗号化に使い, 別の鍵を復号化に使う暗号です. 従来の暗号は, 暗号化と復号化に同じ鍵を使っていました. この鍵は通信の両側が知っていなければならず, 何らかの安全な方法で相手に送らなければなりませんでした.  暗号に使った鍵を安全に転送する必要性を無くすため, 公開鍵暗号では 2 つの別々の鍵(公開鍵と秘密鍵)を用います. 各自が持っている公開鍵は誰でも使うことができ, 暗号化はこれを使って行います. 一方, 各自は自分の秘密鍵を持っており, 正しい公開鍵を使って暗号化されたメッセージはこれを使って復号化します.  公開鍵を使う暗号にも秘密鍵を使う暗号にも利点はあります. これらの違いについては, このセクションの最後に示す <url url="http://www.rsa.com/rsalabs/newfaq/" name="the RSA Cryptography FAQ"> に説明があります.  PGP (Pretty Good Privacy) は Linux でちゃんとサポートされています. バージョン 2.62 と 5.0 の動作が確認されています. PGP への入門や使い方については, PGP FAQ を見ると良いでしょう. <htmlurl url="http://www.pgp.com/service/export/faq/55faq.cgi" name="http://www.pgp.com/service/export/faq/55faq.cgi">  必ず, あなたの国で利用できるバージョンを使ってください. これはアメリカ合衆国政府による輸出制限のためであり, 強力な暗号を電子的に国外へ転送することが禁止されているからです.  現在は輸出の管理は EAR(Export Administration Regulations)が行っています. もはや ITAR (訳注: International Traffic in Arms Regulations の略称) では管理されていません.  Linux での PGP の設定に関するステップバイステップのガイドも <htmlurl url="http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html" name="http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html"> にあります. これは PGP の国際バージョン用に書かれたものですが, アメリカ合衆国バージョンにも簡単に適用できます. 最新バージョンの Linux の一部ではパッチが必要になることがあります. このパッチは <htmlurl url="ftp://metalab.unc.edu/pub/Linux/apps/crypto" name="ftp://metalab.unc.edu/pub/Linux/apps/crypto"> で入手できます.  PGP をオープンソースでフリーに実装し直そうとしているプロジェクトがあります. GnuPG は PGP に置き換えることができる, 既に完成しているフリーなプログラムです. GnuPG は IDEA も RSA も使っていないので, 制限無しに使用することができます. GnuPG は <htmlurl url="http://core.ring.gr.jp/pub/doc/rfc/rfc2440.txt" name="OpenPGP"> にほぼ準拠しています. 詳しくは GNU Privacy Guard の WWW ページ (<htmlurl url="http://www.gnupg.org/" name="http://www.gnupg.org/">) をご覧ください. 訳注 (略語の意味):  <ITEMIZE> <ITEM><bf>IDEA</bf>: International Data Encryption Algorithm の略. 128 ビットの秘密鍵を用いた暗号アルゴリズムで, スイスの Ascom-Tech 社が特許権を持っています. <ITEM><bf>RSA</bf>: 公開鍵を用いた暗号化, 電子署名に使われているアルゴリズムで, 名称は 3 人の開発者(Rivest, Shamir, Adleman)の頭文字からとられています. 米国では 1983 年に特許の認可を受けています. </ITEMIZE>  暗号に関する詳しい情報は RSA cryptography FAQ に書かれています. これは <htmlurl url="http://www.rsa.com/rsalabs/newfaq/" name="http://www.rsa.com/rsalabs/newfaq/"> から入手できます. このドキュメントには "Diffie-Hellman 法", "公開鍵暗号", "電子認証" といった用語に関する情報が載っています. 訳注: 日本語訳は <htmlurl url="http://www.rsa-japan.co.jp/faq/index.html" name="http://www.rsa-japan.co.jp/faq/index.html"> にあります.   <SECT1> SSL, S-HTTP, HTTPS, S/MIME  ユーザは各種セキュリティと暗号化プロトコルの違いや, これらの使い方についてよく質問してきます. このドキュメントは暗号化に関するものではないのですが, 各プロトコルの内容を簡単に説明し, 情報のありかを紹介しておくのも悪くないと思います. <ITEMIZE>  <ITEM><bf>SSL:</bf> - SSL (あるいは Secure Sockets Layer)は Netscape が開発した暗号化手法で, インターネット上でセキュリティを提供します. SSL はいくつかの異なる暗号化プロトコルとクライアントとサーバの認証手法を提供します. SSL はトランスポート層を操作し, データの安全な暗号化チャネルを生成するので, 各種データをシームレスに暗号化することができます. SSL は Communicator で安全なサイトに行き, 安全なオンラインドキュメントにアクセスした時に見られます. 他のたくさんの Netscape Communicator のデータ暗号化と同様に, これは Communicator を使った安全な通信の基本部分として用意されています. 詳しい情報は <htmlurl url="http://www.consensus.com/security/ssl-talk-faq.html" name="http://www.consensus.com/security/ssl-talk-faq.html"> にあります. Netscape の他のセキュリティ機構の実装と, これらのプロトコルの手引きについては, <htmlurl url="http://home.netscape.com/info/security-doc.html" name="http://home.netscape.com/info/security-doc.html"> で入手できます.  <ITEM><bf>S-HTTP:</bf> - S-HTTP はインターネット上での安全なサービスを提供する別のプロトコルです. このプロトコルは, 機密性 (confidentiality), 認証 (authentication), 完全性 (integrity), 否認防止性 [ 他の誰かと間違うことがあり得ないこと] を与えるために設計されており, また, 各トランザクションにおける通信相手とのオプションのネゴシエーションを通じて, 複数の鍵管理機構と暗号化アルゴリズムをサポートします. S-HTTP は, これを実装している特定のソフトウェアでしか使えません. また, それぞれのメッセージを独立に暗号化します. &lsqb RSA Cryptography FAQ の 138 ページより]  <ITEM><bf>S/MIME:</bf> - S/MIME (すなわち Secure Multipurpose Internet Mail Extension)は, 暗号化電子メールやその他の種類のインターネット上のメッセージで使われる暗号化の標準です. これは RSA が開発したオープンな標準なので, Linux 用のものもたぶん近いうちに登場するでしょう. S/MIME に関する詳しい情報は <htmlurl url="http://home.netscape.com/assist/security/smime/overview.html" name="http://home.netscape.com/assist/security/smime/overview.html"> にあります. </ITEMIZE>   <SECT1> Linux における IPSEC の実装  CIPE や他の形式のデータ暗号化とともに, Linux 用の IPSEC の実装も複数個あります. IPSEC は IETF が作った規格で, 暗号化された安全な通信経路を IP ネットワークレベルで作り, また認証, 完全性, アクセス制御, 機密性も提供します. IPSEC の情報とインターネットドラフトは <htmlurl url="http://www.ietf.org/html.charters/ipsec-charter.html" name="http://www.ietf.org/html.charters/ipsec-charter.html"> にあります. 鍵管理を含めて他のプロトコルへのリンク, IPSEC のメーリングリストやアーカイブもあります.  University of Arizona で開発された x-kernel Linux という実装は, オブジェクトベースのフレームワークを使って x-kernel と呼ばれるネットワークプロトコルを実装しています. これは <htmlurl url="http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html" name="http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html"> にあります. 大雑把に言うと, x-kernel はカーネルレベルでのメッセージパッシングの手法であり, これにより実装が容易になっています.  これとは別のフリーに利用できる IPSEC の実装は Linux FreeS/WAN IPSEC です. その WWW ページを引用すると <quote> 「これらのサービスを用いると, 信頼できないネットワーク上に安全なトンネルを構築することができます. 信頼できないネットワークを通るデータは全て IPSEC ゲートウェイマシンにより暗号化され, その反対の端のゲートウェイによって復号化されます. これにより仮想プライベートネットワーク (Virtual Private Network, VPN) ができます. これは, 安全でないインターネットで接続された異なる複数のサイトを含んでいても, 実質的にプライベートなネットワークです」 </quote> とのことです.  これは <htmlurl url="http://www.xs4all.nl/~freeswan/" name="http://www.xs4all.nl/~freeswan/"> で入手することができます. このドキュメントの執筆中にちょうどバージョン 1.0 になりました.  他の形式の暗号と同様に輸出が制限されているため, デフォルトではカーネルと共に配布されていません.   <SECT1> <tt>ssh</tt> (Secure Shell) と <tt>stelnet</tt><label id="ssh">  <tt>ssh</tt> と <tt>stelnet</tt> は, リモートのシステムにログインし, 暗号化された接続を行うためのプログラム群です.  <tt>openssh</tt> は <tt>rlogin</tt>, <tt>rsh</tt>, <tt>rcp</tt> の安全な代用品として使われるプログラム群です. <tt>ssh</tt> は 2 つのホスト間の通信とユーザ認証を公開鍵暗号を使って暗号化します. <tt>ssh</tt> を使うと安全にリモートホストにログインしたり, ホスト間でデータを安全にコピーしたりすることができ, 割り込み攻撃(セッションのハイジャック)や DNS 詐称を防ぐことができます. <tt>ssh</tt> は接続上でデータ圧縮も行い, ホスト間での安全な X11 の通信も行います.  いまでは, ssh には何種類かの実装があります. Data Fellows 社によるオリジナルの商用の実装は The <tt>ssh</tt> home page <htmlurl url="http://www.datafellows.com" name="http://www.datafellows.com"> にあります.  The excellent Openssh の素晴らしい実装は Data Fellows の ssh の初期のバージョンを元にしつつ, 特許に関わる部分や占有物が入らなくなるように完全に作り直されました. フリーで, BSD ライセンスの元にあります. <htmlurl url="http://www.openssh.com" name="http://www.openssh.com"> にあります.  "psst..." という名前の, ssh を一から再実装しようというオープンソースなプロジェクトもあります. 詳しくは <htmlurl url="http://www.net.lut.ac.uk/psst/" name="http://www.net.lut.ac.uk/psst/"> をご覧ください.  <tt>ssh</tt> を Windows PC から Linux の <tt>ssh</tt> サーバに対して使うこともできます. Windows 用のクライアントの実装はいくつかあります. その 1 つは <htmlurl url="http://guardian.htu.tuwien.ac.at/therapy/ssh/" name="http://guardian.htu.tuwien.ac.at/therapy/ssh/"> ですし, DataFellows による商用の実装も <htmlurl url="http://www.datafellows.com" name="http://www.datafellows.com"> にあります.  SSLeay は Netscape の Secure Sockets Layer プロトコルのフリーの実装です. これには Secure telnet, Apache 用のモジュール, いくつかのデータベース等のアプリケーションがいくつか含まれており, DES, IDEA, Blowfish 等のアルゴリズムもいくつか含まれています.  このライブラリを使って, telnet 接続上のデータを暗号化する telnet の安全な代替プログラムが作られました. SSH と異なり, stelnet は Netscape が開発した SSL (Secure Sockets Layer) プロトコルを使います. Secure telnet と Secure FTP は SSLeay FAQ からたどって見つけることができます. この FAQ は <htmlurl url="http://www.psy.uq.oz.au/~ftp/Crypto/" name="http://www.psy.uq.oz.au/~ftp/Crypto/"> にあります. 訳注: 日本語訳が <htmlurl url="http://www.infoscience.co.jp/technical/crypto/ssleay_jp.html" name="http://www.infoscience.co.jp/technical/crypto/ssleay_jp.html"> にあります.  SRP は別の安全な telnet/ftp の実装です. その WWW ページを引用すると  <quote> 「SRP プロジェクトは世界中でフリーに利用できる安全なインターネットソフトウェアを開発しています. 完全に安全な telnet と ftp の配布を始めとして, 我々は弱いネットワーク認証を, セキュリティのためにユーザインタフェースを犠牲にしない強力なものに置き換えたいと考えています. セキュリティがオプションなんてとんでもない! セキュリティはデフォルトでなければなりません」 </quote> とのことです.  詳しい情報については <htmlurl url="http://srp.stanford.edu/srp" name="http://srp.stanford.edu/srp"> を見てください.   <SECT1>PAM - 交換可能な認証モジュール  最近のバージョンの Red Hat Linux ディストリビューションでは, "PAM" と呼ばれる統一された認証方法が使われています. PAM を使うと, システムを動作させたままで認証の方法や要件を変更することとローカルの認証方法をカプセル化することが可能になります. バイナリは一切再コンパイルする必要がありません. PAM の設定は本書の範囲を越えますが, 必ず PAM のウェブサイトを見て, 詳しい情報を見ておいてください. <htmlurl url="http://www.kernel.org/pub/linux/libs/pam/index.html" name="http://www.kernel.org/pub/linux/libs/pam/index.html">  PAM で可能になることをほんの少しだけ列挙します. <ITEMIZE> <ITEM>  パスワードに DES 以外の暗号を用いる. (力任せの解読が難しくなります) <ITEM>  サービス妨害攻撃を実行できなくするため, 全てのユーザに対してリソース (プロセス数, メモリの大きさ等) の制限を加える. <ITEM>  システムを動作させたまま, シャドウパスワード(後述)を利用可能にする. <ITEM>  特定のユーザについて, 特定の回数のみ, 特定の場所からログインを許可する. </ITEMIZE>  システムのインストールと設定を行う数時間の間に, 実際に攻撃を受ける前に多くの攻撃を予防しておくことができます. 例えば PAM を使うと, ホームディレクトリの <tt>.rhosts</tt> ファイルの使用をシステム全体で無効にすることができます. 設定は <tt>/etc/pam.d/rlogin</tt> に以下のような行を追加します: <tscreen><verb> # # Disable rsh/rlogin/rexec for users # login auth required pam_rhosts_auth.so no_rhosts </verb></tscreen>   <SECT1>暗号による IP のカプセル化 (Cryptographic IP Encapsulation, CIPE)  このソフトウェアの基本的な目的は, インターネットのような安全でないパケットネットワークを通る安全な (トラフィック解析, 偽メッセージ混入を含む盗聴に対して) サブネットワーク間接続を提供することです.  CIPE はデータをネットワークレベルで暗号化します. つまり, ネットワーク上のホスト間を転送されるパケットが暗号化されます. 暗号化エンジンはパケットを送受信するドライバの近くに配置されます.  CIPE は, 接続ごとにソケットレベルでデータを暗号化する SSH とは異なります. 異なるホスト上で実行されているプログラム間の論理的な接続が暗号化されます.  CIPE は仮想プライベートネットワーク (Virtual Private Network) を構築するために, トンネリングで使うことができます. 低レベルの暗号化には, アプリケーションソフトウェアを変更しなくても, VPN に接続している 2 つのネットワーク間で透過的に動作させることができるという利点があります.  CIPE のドキュメントからの要約です:  <quote> IPSEC 標準は, 暗号化された VPN を構築するため (他にもありますが) に使うことができるプロトコル群を定義しています. しかし, IPSEC はオプションがたくさんある比較的重くて複雑なプロトコル群で, プロトコル群の完全な実装はまだほとんど使われておらず, 一部の問題 (鍵管理など) はまだ完全には解決されていません. CIPE は比較的簡単なアプローチを取っており, CIPE においてパラメータ化できることの多く (実際に使う暗号化アルゴリズムの選択など)は, インストール時に選択したものに固定されます. これは柔軟さを制限しますが, 実装が簡単に (したがって, 効率的でデバッグもしやすく) なります. </quote>  詳しい情報は <htmlurl url="http://www.inka.de/~bigred/devel/cipe.html" name="http://www.inka.de/~bigred/devel/cipe.html"> にあります.  他の暗号化と同様の輸出制限のため, CIPE はカーネルと一緒には配布されていません.  <SECT1> Kerberos  Kerberos は MIT の Athena Project で開発された認証システムです. ユーザがログインした時, Kerberos は(パスワードを用いて)ユーザを認証し, ネットワーク上に分散している他のサーバやホストに対してユーザの身分を証明するための方法を提供します.  それから, この認証情報は <tt>rlogin</tt> のようなプログラムが使い, ユーザがパスワード無しで他のホストにログインすることを許可するために使います (<tt>.rhosts</tt> ファイルの代わり). この認証方法をメールシステムで使えば, メールが正しい宛先に配達されたことの保証や, 送信者が自分が名乗っている通りのユーザであることの保証が行えます.  Kerberos およびこれに付属しているプログラムは, あるユーザが, 自分を他のユーザであるとシステムに思わせる「詐称」を実質的に不可能にします. Kerberos のインストールは残念ながらシステムに深く立ち入ったものになるので, 基本的なプログラムをたくさん修正したり入れ換えたりしなければなりません.  Kerberos に関する詳しい情報は <htmlurl url="http://www.cis.ohio-state.edu/hypertext/faq/usenet/kerberos-faq/general/faq.html" name="the kerberos FAQ"> にあり, コードは <htmlurl url="http://nii.isi.edu/info/kerberos/" name="http://nii.isi.edu/info/kerberos/"> にあります.  [参考: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.]  Kerberos はホストのセキュリティ向上のために取るべき最初のステップではありません. Kerberos は非常に複雑ですし, 例えば SSH ほど使われているわけでもありません.   <SECT1> シャドウパスワード  シャドウパスワードは, 暗号化されたパスワード情報を一般ユーザから隠す手法です. Red Hat と Debian の両方とも, 最近のバージョンではデフォルトでシャドウパスワードを使うようになっていますが, ほかのシステムでは, 暗号化されたパスワードは普通, 誰でも読める <tt>/etc/passwd</tt> に格納されています. したがって, 誰でもパスワード推測プログラムを実行してパスワードを見つけようと試みることができます. 一方シャドウパスワードでは, この情報は特権ユーザしか読めない <tt>/etc/shadow</tt> ファイルに格納されます. シャドウパスワードを利用するためには, パスワード情報へアクセスする必要があるユーティリティを全てシャドウパスワード対応に再コンパイルする必要があります. (先述の) PAM を使っていれば, シャドウモジュールを使用するだけでよく, 実行ファイルを再コンパイルする必要はありません. 必要ならば Shadow-Password HOWTO を参照して詳しい情報を調べてください. このドキュメントは <htmlurl url="http://linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html" name="http://linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html"> にあります. このドキュメントは現在は多少古くなっていますし, PAM をサポートしているディストリビューションではたぶん不要でしょう. 訳注: 和訳は <htmlurl url="http://www.linux.or.jp/JF/JFdocs/Shadow-Password-HOWTO.html" name="http://www.linux.or.jp/JF/JFdocs/Shadow-Password-HOWTO.html"> にあります.   <SECT1> "Crack" および "John the Ripper"<label id="crack">  推測しにくいパスワードをつけることを <tt>passwd</tt> プログラムにおいて強制することができない場合は, パスワードをクラッキングするプログラムを実行し, ユーザのパスワードが安全かどうか確認するとよいでしょう.  パスワードクラックのプログラムは, 単純な考えに基づいて動作します. つまり, 辞書に載っている単語とこれらの単語の変化形を順に試すのです. それぞれを暗号化し, 暗号化されたパスワード文字列と比べます. これらが一致すれば, パスワードがわかります.  このようなプログラムはたくさんありますが, その中でも "Crack" と "John the Ripper" (<htmlurl url="http://www.false.com/security/john/index.html" name="http://www.false.com/security/john/index.html">) の 2 つが有名です. これらは CPU パワーを大量に消費しますが, 予めこれを実行しておくことで, 攻撃者がこれらのツールを使って侵入することができるかどうか知ることができ, 脆弱なパスワードを使っているユーザに注意することができます. 攻撃者はパスワードファイル (UNIX では <tt>/etc/passwd</tt>) を入手するために, まず他のセキュリティホールを突かなければなりませんが, それは読者の皆さんがが考えているよりもありふれているものであることは知っておいてください.  最も弱いホストの強さが全体のセキュリティの強さになってしまいます. ですから, ネットワーク上に Windows マシンがある場合には L0phtCrack を調べるべきだということは言及しておく価値があるでしょう. これは Crack の Windows 用の実装です. これは <htmlurl url="http://www.l0pht.com" name="http://www.l0pht.com"> で入手できます.   <SECT1> CFS (暗号化ファイルシステム)と TCFS (透過的暗号化ファイルシステム)  CFS はディレクトリツリー全体を暗号化する手法で, このツリーに暗号化されたファイルを置くことができます. これはローカルマシン上で NFS サーバを動作させます. RPM は <htmlurl url="http://www.zedz.net/redhat/" name="http://www.zedz.net/redhat/"> で入手可能であり, 動作に関する情報は <htmlurl url="ftp://ftp.research.att.com/dist/mab/" name="ftp://ftp.research.att.com/dist/mab/"> で得られます.  TCFS は CFS を改良したもので, ファイルシステムとの統合をより進めたものです. したがって, ユーザは透過的に暗号化ファイルシステムを利用することができます. 詳しい情報は <htmlurl url="http://edu-gw.dia.unisa.it/tcfs/" name="http://edu-gw.dia.unisa.it/tcfs/" > で得られます.  TCFS は必ずしもファイルシステム全体で使う必要はありません. これもディレクトリツリーで使用することができます.   <SECT1>X11, SVGA, ディスプレイに関するセキュリティ  <SECT2> X11  グラフィックディスプレイを安全にしておき, 攻撃者が入力したパスワードを奪ったり, 画面で見ているドキュメントや情報を読んだり, セキュリティホールを突いて root 権限を奪ったりできないようにしておくことは重要です. X アプリケーションをネットワーク越しにリモートで動作させることも, リモートのシステムとのやりとりを全部盗聴されてしまう危険を伴うことがあります.  X にはアクセス制御機構がいくつもあります. その中で最も簡単なものはホストに基づくものです. <tt>xhost</tt> コマンドを用いれば, ディスプレイへのアクセスが許可されるホストを指定できます. しかし, この機構は非常に危険です. マシンにアクセスできる人は, <tt>xhost +</tt> を実行し, 容易に侵入することができます. もし, 信頼できないホストからのアクセスを許可しなければならない場合には, そのホストにログインしているユーザは誰でもディスプレイに不正アクセスすることができます.  ログインのために <tt>xdm</tt> (X ディスプレイマネージャ) を使っている場合, ずっと良いアクセス方法である MIT-MAGIC-COOKIE-1 を使いましょう. この機構は 128ビット長の「クッキー」を生成して, ユーザのホームディレクトリの <tt>.Xauthority</tt> ファイルに格納します. リモートのマシンにディスプレイへのアクセスを許可するには, <tt>xauth</tt> コマンドと <tt>.Xauthority</tt> ファイル内の情報を使って, その接続だけを許可するようにします. Remote-X-Apps mini-howto をご覧ください. これは <htmlurl url="http://linuxdoc.org/HOWTO/mini/Remote-X-Apps.html" name="http://linuxdoc.org/HOWTO/mini/Remote-X-Apps.html"> で入手できます. 訳注: <htmlurl url="http://www.linux.or.jp/JF/JFdocs/Remote-X-Apps.html" name="Remote-X-Apps の和訳"> があります.  X の接続を安全に行うために <tt>ssh</tt> (前述の <ref id="ssh"> の項を参照のこと) を使うこともできます. <tt>ssh</tt> には, ユーザが透過的に扱うことができる, およびネットワーク上に暗号化されていないデータが流れない, という 2 つの利点があります.  X のセキュリティについての詳しい情報については, オンラインマニュアルの <tt>Xsecurity</tt> を参照してください. 安全な策としては, コンソールにログインするときには <tt>xdm</tt> を使い, リモートのサイトで X のプログラムを実行したいときは <tt>ssh</tt> を使うことです.  <SECT2> SVGA  SVGAlib を使うプログラムはビデオ関係のハードウェアを操作するため, 普通は root に setuid されます. これは非常に危険です. プログラムがクラッシュした場合, 普通はコンソールを元に戻すためマシンを再起動しなくてはならなくなってしまいます. このようなプログラムについては, 確実に信頼できること, あるいは少なくとも少しは信用できることを確かめてください. できれば, そもそも使わないのが良いでしょう.  <SECT2> GGI (Generic Graphics Interface project)  Linux GGI プロジェクトは Linux のビデオインタフェースの問題についてひとつの解を提案しようとする試みです. GGI では Linux のカーネル内に少しビデオ関係のコードを入れ, そうしてビデオへアクセスします. つまり, GGI を使えばいつでもコンソールを正常な状態に戻すことができます. また, secure attention key を使うことができ, コンソールでトロイの木馬が入った <tt>login</tt> プログラムを使われるのを防げます. <htmlurl url="http://synergy.caltech.edu/~ggi/" name="http://synergy.caltech.edu/~ggi/">   <SECT> カーネルのセキュリティ<label id="kernel-security">  ここではセキュリティに関連するカーネル設定オプションの説明と, それらの動作や使い方に関する説明を行います.  カーネルはコンピュータのネットワークを制御するので, カーネルをこの上なく安全にしておくことと, カーネルそのものが破られないようにすることは重要です. 最近出現したネットワーク攻撃のいくつかを防ぐために, カーネルのバージョンは最新に保つようにすべきです. 新しいカーネルは <url url="ftp://ftp.kernel.org"> またはお使いのディストリビューションのベンダから入手できます.  本家の Linux カーネル用にひとつに統合された暗号化パッチを提供している国際的なグループもあります. このパッチは, 各種暗号サブシステムや輸出制限のために本家のカーネルに含まれていない機能を提供します. 詳しい情報についてはグループの WWW ページ <htmlurl url="http://www.kerneli.org" name="http://www.kerneli.org"> をご覧ください.   <SECT1> バージョン 2.0 のカーネルのコンパイルオプション  2.0.x カーネルでは以下のオプションが該当します. カーネルを設定する際にこれらのオプションを確認することになるでしょう. ここに挙げたコメントの多くは <tt>./linux/Documentation/Configure.help</tt> から取っています. このコメントは, カーネルのコンパイル時に<tt>make config</tt> の Help 機能で参照できるドキュメントと同じものです. <ITEMIZE> <ITEM>Network Firewalls (CONFIG_FIREWALL)  このオプションは Linux マシンでファイアウォールを構築する際や IP マスカレードを行う際に有効にすべきです. 単に普通のクライアントマシンにするつもりならば no と設定するのが安全でしょう. <ITEM>IP: forwarding/gatewaying (CONFIG_IP_FORWARD)  IP forwarding を有効にすると, Linux マシンは本質的にルータになります. このマシンがネットワークに繋がっていると, あるネットワークから別のネットワークにデータを転送しているかもしれず, これを起さないために設置されている防火壁をたぶん壊しています. 通常のダイアルアップユーザはこれを無効にしたいと思うでしょうし, 他のユーザはこれを行うことのセキュリティ的な意味を良く考えるべきです. 防火壁のマシンはこれを有効にし, 防火壁のソフトウェアと組み合わせて使おうと考えるでしょう.  IP forwarding は以下のコマンドで動的に有効にすることができます: <tscreen><verb> root# echo 1 > /proc/sys/net/ipv4/ip_forward </verb></tscreen>  また次のコマンドで無効にすることができます: <tscreen><verb> root# echo 0 > /proc/sys/net/ipv4/ip_forward </verb></tscreen>  /proc にあるファイルは「仮想的」なファイルであり, 表示されるファイルの大きさは, そこから出てくるデータの量を反映していないことは覚えておいてください. <ITEM>IP: syn cookies (CONFIG_SYN_COOKIES)  「SYN 攻撃」はサービス妨害(DoS)攻撃のひとつです. マシンのリソースを全て喰い潰してしまい, リブートするはめに追い込みます. このオプションを有効にしておかない理由は普通は考えられません. 2.2.x 系のカーネルでは, この設定オプションは単に syn cookie を許可するだけで, 有効にはしません. これを有効にするには以下のコマンドを実行する必要があります: <tscreen><verb> root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies </verb></tscreen> <ITEM>IP: Firewalling (CONFIG_IP_FIREWALL)  このオプションが必要になるのは, マシンを防火壁として設定する時や, IP マスカレードを行う時に PPP のダイアルアップインタフェース経由で何者かがダイアルアップマシンに入ってくるのを防ぎたい時です. <item>IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE)  このオプションを使うと, 送信者, 受信者, ポート等の防火壁が受け取ったパケットに関する情報が記録されます. <ITEM>IP: Drop source routed frames (CONFIG_IP_NOSR)  このオプションは有効にすべきです. 始点で経路設定されたフレーム (source routed frames) は, 終点までの全体のパスをパケット内に持っています. つまり, パケットが通るルータはパケットを検査する必要がなく, 単に転送すればよいということです. これは危険であるかもしれないデータをシステムに入れる可能性を持ちます. <ITEM>IP: masquerading (CONFIG_IP_MASQUERADE)  Linux マシンが防火壁として動作している場合, そのローカルネットワークのコンピュータのひとつが外部に接続しようとすると, Linux マシンはそのホストの「仮面を被る」ことができます. つまり, Linux マシンはローカルネットワーク内のマシンが想定している終点アドレスへトラフィックを転送しますが, このトラフィックが防火壁のマシンから来たように見せかけます. 詳しい情報については <htmlurl url="http://www.indyramp.com/masq" name="http://www.indyramp.com/masq"> をご覧ください. <ITEM>IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP)  前のオプションは TCP トラフィックと UDP トラフィックのマスカレーディングしか行いませんが, このオプションは ICMP のマスカレーディングも行うようにします. <ITEM>IP: transparent proxy support (CONFIG_IP_TRANSPARENT_PROXY)  このオプションは, Linux マシンの防火壁の透過的リダイレクト機能を有効にします. つまり, ローカルネットワークが始点であり, かつ終点がリモートホストであるような任意のネットワークトラフィックがローカルのサーバ (いわゆる「透過的プロキシサーバ」) にリダイレクトされます. これにより, ローカルのコンピュータにリモート側と通信していると思わせながら, 実際にはローカルのプロキシと接続した状態にします. 詳しくは IP-Masquerading HOWTO と <htmlurl url="http://www.indyramp.com/masq" name="http://www.indyramp.com/masq"> をご覧ください. <ITEM>IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG)  普通はこのオプションは無効になっていますが, 防火壁や IP マスカレードを行うホストを構築する場合には, このオプションを有効にしたくなるはずです. あるホストから別のホストまでデータが送られる時, データは必ずしも単独のデータパケットだけで送られるわけではなく, 複数個のパケットに分割されます. このやり方の問題点は, ポート番号は最初のパケットにしか格納されていないことです. つまり, 何者かが入っていないはずの情報をその接続の残りのパケットに入れることが可能なのです. このオプションは, teardrop 攻撃に対するパッチを当てていない内部ホストに対する teardrop 攻撃も防ぐことができるはずです. <ITEM>Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING)  このオプションは 2.2.x 系列のカーネルで利用可能なオプションで, セキュリティを強固にするために NCP パケットに署名をするようにします. 通常は無効にしておいて構いませんが, 必要ならばどうぞ. <ITEM>IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK)  これは実に便利なオプションで, ユーザ空間プログラムのパケットの先頭の 128 バイトを解析し, 正当さに基づいてそのパケットを許すか拒否するかを決めるようにできます. </ITEMIZE>   <SECT1> バージョン 2.2 のカーネルのコンパイルオプション  2.2.x カーネルでも多くのオプションは同じですが, 新しいオプションもいくつか開発されています. ここに挙げたコメントの多くは <tt>./linux/Documentation/Configure.help</tt> から取っています. このコメントは, カーネルのコンパイル時に <tt>make config</tt> の Help 機能で参照できるドキュメントと同じものです. 以下では新しく追加されたオプションだけを示します. 必要な他のオプションについては, 2.0 用の説明を参照してください. 2.2 カーネルにおける最大の変更点は, IP firewalling のコードです. 2.2 カーネルからは, IP firewalling を行うには, <tt>ipchains</tt> を使うようになりました. 2.0 カーネルで使われていた <tt>ipfwadm</tt> は使いません. <ITEMIZE> <ITEM>Socket Filtering (CONFIG_FILTER)  大抵の人にとっては, このオプションに no を設定しておくのが安全です. このオプションを使うと, ユーザ空間のフィルタを任意のソケットに接続して, パケットを受け取るか拒否するかを決めることができます. どうしても必要, かつフィルタのようなプログラムを組めないのなら, このオプションには no を設定すべきです. 本 HOWTO の執筆時点では, TCP を除く全てのプロトコルがサポートされています. <ITEM>Port Forwarding  ポート転送 (Port Forwarding) は IP マスカレードへの追加機能であり, 指定されたポートにおける一部のパケットについて, 防火壁の外部から内部への転送を許可します. このオプションが役立つのは, 例えば WWW サーバを防火壁の中や IP マスカレードを行うホストの後ろで実行し, これを外の世界からアクセスできるようにしたい場合です. 外部のクライアントが防火壁の 80 番ポートにリクエストを送ると, 防火壁はこのリクエストを WWW サーバに転送します. WWW サーバはリクエストを処理し, その結果を防火壁経由で元のクライアントに送ります. クライアントにとっては, 防火壁のマシンで WWW サーバが動いているように見えます. この機能は, 防火壁の後ろに全く同じ構成の WWW サーバが複数ある場合に負荷調整 (load balancing) を行うためにも使えます.  この機能に関する情報は http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html にあります (WWW を見るには, インターネットに接続しており, かつ lynx や Netscape のようなプログラムが使えるマシンが必要です). 一般的な情報については ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/ をご覧ください. <ITEM>Socket Filtering (CONFIG_FILTER)  このオプションを使うと, ユーザ空間プログラムは任意のソケットにフィルタを付けることができ, 特定の種類のデータをソケット経由で取得する際に許可するか拒否するかをカーネルに指示することができます. Linux のソケットフィルタリングは, 現在 TCP を除く全ての種類のソケットで動作します. 詳しくはテキストファイル <tt>./linux/Documentation/networking/filter.txt</tt> をご覧ください. 訳注: カーネルのソースに含まれているテキストファイルのことです. <ITEM>IP: Masquerading  カーネル 2.2 の IP マスカレードは改良されています. 特殊なプロトコルのマスカレーディング等のサポートが追加されています. 詳しくは IP Chains HOWTO をご覧ください. </ITEMIZE>   <sect1> カーネルデバイス  Linux には, セキュリティの向上にも使えるブロックデバイスやキャラクタデバイスがいくつかあります.  <tt>/dev/random</tt> と <tt>/dev/urandom</tt> という, いつでもランダムなデータを取り出せる 2 つのデバイスがカーネルに用意されています.  <tt>/dev/random</tt> と <tt>/dev/urandom</tt> はどちらも安全であり, PGP の鍵や <tt>ssh</tt> のチャレンジ文字列の生成や, ランダムな数字を必要とする他のアプリケーションで利用できるはずです. これらを入力として数の初期シーケンスを与えても, 攻撃者が次の数を予測することは不可能なはずです. これらの入力から得た数字があらゆる意味において言葉通りランダムであることを保証するため, 大変な努力が行われてきました.  2 つのデバイスの唯一の違いは, <tt>/dev/random</tt> はランダムなバイト列を全て使う点と, 計算を行うためのユーザの待ち時間がより長い点です. 一部のシステムでは, ユーザが生成したエントロピーがシステムに入るのを待つ長い間, ブロックされてしまうことに注意してください. したがって, <tt>/dev/random</tt> を使う前には気を付ける必要があります. (これの利用の最良の場面はおそらく, 機密キー入力情報を生成する時で, ユーザに「はい, もう十分です」と表示するまでキーボードを繰り返し叩いてもらう場合です)  <tt>/dev/random</tt> は非常に高品質のエントロピーを持ち, 割り込み間の時間等の測定値から生成しています. このデバイスは十分なビット数のランダムデータが利用可能になるまでブロックします.  <tt>/dev/urandom</tt> も同様ですが, エントロピーの保持量が少なくなると, 現在保持している値の暗号学的に強いハッシュ値を返します. これは <tt>/dev/random</tt> ほど安全ではありませんが, ほとんどの目的に対してはこれで十分です.  このデバイスは以下のようにして読み出すことができます: <tscreen><verb> root# head -c 6 /dev/urandom | mmencode root# head -c 6 /dev/urandom | mimencode </verb></tscreen>  これはコンソールに 8 つのランダムな文字を出力します. パスワード生成などによいでしょう. <tt>mimeencode</tt> は <tt>metamail</tt> パッケージに入っています.  アルゴリズムの説明については, <tt>/usr/src/linux/drivers/char/random.c</tt> を参照してください.  これについて筆者(Dave)に教えてくださった, Theodore Y. Ts'o さん, Jon Lewis さん他の Linux-kernel ML の皆さんに感謝します.   <SECT>ネットワークのセキュリティ<label id="network-security">  ネットワークに接続する時間が長ければ長いほど, ネットワークのセキュリティが重要になってきます. ネットワークのセキュリティを破ることは, 物理的あるいはローカルのセキュリティを破るよりも簡単なことが多く, よりありふれたことです.  ネットワークのセキュリティ確保を支援するための良いツールはたくさんあり, これらの多くは Linux の各ディストリビューションにも付属しています.   <SECT1>パケット盗聴  侵入者がネットワーク上でより多くのシステムのアクセス権を得るためによく使う方法の一つが, 既に悪用しているホスト上でパケット盗聴プログラムを使うことです. この「盗聴プログラム」は, イーサネット上のパケットストリームの <tt>passwd</tt>, <tt>login</tt>, <tt>su</tt> のようなものを監視し, その後のトラフィックをログに残します. このようにして, 侵入者は破ろうとさえとしていないシステムのパスワードも得てしまいます. 平文の(暗号化されていない)パスワードは, このような攻撃に対して非常に脆弱です.  例: ホスト A は既に破られています. 攻撃者はパケット盗聴プログラムをインストールします. ホスト C からホスト B への管理者のログインを拾い出します. まず管理者が B にログインするときに, 個人のパスワードを入手します. それから, 管理者は何か問題を処理するために <tt>su</tt> を実行します. このときに, ホスト B の root のパスワードが入手できます. 後で, 管理者が誰かを他のサイトのホスト Z に <tt>telnet</tt> させます. こうして, 攻撃者はホスト Z の password/login を入手することができます.  今日では, 攻撃者はこの攻撃を行うためにシステムを破る必要などありません. ノートパソコン等を建物に持ち込み, ネットワークに繋いでしまえばよいのです.  この攻撃を防ぐには, <tt>ssh</tt> 等のパスワード認証を暗号化します. POP の場合には APOP 等を使うことで, この攻撃を防ぐことができます. (通常の POP は, パスワードを暗号化せずにネットワーク上に流すので, この攻撃に対して非常に脆弱です. )   <SECT1>システムサービスと tcp_wrappers  どんなネットワークであれ, Linux システムを接続する前にまず確認すべきことは, どのサービスを提供するかです. 提供する必要が無いサービスは無効にするべきであり, そうすることで心配の種を一つ減らすことができ, 攻撃者がセキュリティホールを探す余地も一つ減ります.  Linux でサービスを無効にするための方法は色々あります. <tt>/etc/inetd.conf</tt> ファイルを見れば, <tt>inetd</tt> 経由で提供されているサービスを確認することができます. 必要の無いサービスは, コメントアウトして(行の先頭に <tt>#</tt> を挿入します), inetd のプロセスに SIGHUP を送ることで無効にすることができます.  <tt>/etc/services</tt> ファイル内のサービスを削除 (またはコメントアウト) する方法もあります. これによりローカルのクライアントもサービスを見つけられなくなります (例えば <tt>ftp</tt> の項を削除し, そのマシンからリモートサイトへ ftp すると, "unknown service" というエラーになるでしょう). しかし, サービスの削除に伴うトラブルに見合うだけの価値はないでしょう. というのも, <tt>/etc/services</tt> からサービスを削除してもセキュリティが向上するわけではないからです. <tt>/etc/services</tt> で <tt>ftp</tt> の項目をコメントアウトしていても, ローカルのユーザが <tt>ftp</tt> を使いたければ, FTP の一般的なポート番号を使うクライアントを用意すればちゃんと動作するのですから.  有効なまま残しておくとよいサービスには以下のようなものがあります: <itemize><item><tt>ftp</tt> <item><tt>telnet</tt> (or <tt>ssh</tt>) <item>mail, such as <tt>pop-3</tt> or <tt>imap</tt> <item><tt>identd</tt> </itemize>  特定のパッケージを使わないことが分かっているならば, そのパッケージを全部削除する方法もあります. Red Hat ディストリビューションでは, <tt>rpm -e <it>パッケージ名</it></tt> というコマンドがパッケージ全体を削除するコマンドです. Debian の場合は, <tt>dpkg --remove</tt> コマンドで同様のことが実行できます.  加えて, rsh/rlogin/rcp ユーティリティ(/etc/inetd.conf から login (<tt>rlogin</tt> が使用), shell(<tt>rcp</tt> が使用), exec (<tt>rsh</tt> が使用)の項目を含む)が <tt>/etc/inetd.conf</tt> から起動されるのを無効にしたいと思うことでしょう. これらのプロトコルは非常に危険ですし, 過去にも攻撃を受ける原因となってきました.  <tt>/etc/rc.d/rc[0-9].d</tt> (Red Hat の場合. Debian では <tt>/etc/rc[0-9].d</tt>) ディレクトリをチェックし, 不要なサーバが起動されていないかどうか確認しましょう. こういったディレクトリ中のファイルは実際には <tt>/etc/rc.d/init.d</tt> ディレクトリ (Red Hat の場合. Debian では <tt>/etc/init.d</tt>) 中のファイルへのシンボリックリンクです. <tt>init.d</tt> ディレクトリ中のファイルの名前を変更すると, そのファイルに対するシンボリックリンクを無効にすることができます. 特定のランレベルのサービスだけを無効にしたい場合は, そのサービスに対応するシンボリックリンクの大文字 'S' を小文字の 's' に名称変更してください. これは以下のように行います: <tscreen><verb> root# cd /etc/rc6.d root# mv S45dhcpd s45dhcpd </verb></tscreen>  BSD スタイルの <tt>rc</tt> ファイルのシステムの場合には, 不要なプログラムは <tt>/etc/rc*</tt> から探します.  ほとんどの Linux ディストリビューションには, 全ての TCP サービスを「ラッピング(包む)」する tcp_wrappers が付いています. tcp_wrapper(<tt>tcpd</tt>)は, <tt>inetd</tt> が実際のサーバの代わりに呼び出します. <tt>tcpd</tt> はサービスを要求したホストをチェックし, サーバの起動かアクセス拒否を行います. <tt>/etc/hosts.allow</tt> ファイルを作り, そのマシンのサービスを受ける必要があるマシンだけを指定しましょう.  家からダイアルアップ接続しているユーザは, 全てを拒否する設定をお勧めします. <tt>tcpd</tt> はサービスへのアクセス失敗を記録することもできるので, 攻撃を受けた際には警告を受けることができます. 新しいサービスを追加する際には, それが TCP ベースのものなら, 必ず tcp_wrappers を使う設定にすべきです. 例えば通常のダイアルアップユーザは外部からの接続を禁止することができますが, その状態でもメールの取得やインターネットへのネットワーク接続はできます. これを行うには, <tt>/etc/hosts.allow</tt> に以下の設定を追加してください:  ALL: 127  また, 当然ながら <tt>/etc/hosts.deny</tt> も関係あります. ALL: ALL  これにより, 外部からあなたのマシンへの接続は全て禁止されますが, 内部からインターネット上のサーバへの接続は許されます.  tcp_wrappers が守れるのは <tt>inetd</tt> から実行するサービスだけであり, 他を選択する余地はほとんどないことを覚えておいてください. サービスは他にもたくさん実行されているかもしれません. <tt>netstat -ta</tt> を実行すれば, お使いのマシンで行われているサービスを全て表示することができます.   <SECT1> DNS 情報の確認  自分のネットワーク上の全てのホストに関して最新の DNS 情報を保つことは, セキュリティの向上に繋がります. 許可されていないホストがネットワークに繋がれた際には, そのホストが DNS エントリを持たないことから識別することができます. サービスの多くは正しい DNS エントリを持たないマシンからの接続を受け付けないように設定することができます.  <SECT1> <tt>identd</tt>  <tt>identd</tt> は一般的に <tt>inetd</tt> の代わりとなる小さなプログラムです. <tt>identd</tt> はどのユーザがどの TCP サービスを受けているかを常に監視し, 要求に応じてこの結果を報告します.  多くの人は <tt>identd</tt> の有益さを誤解しており, <tt>identd</tt> を無効にしたり, 外部サイトからの <tt>identd</tt> へのリクエストをブロックしたりしています. <tt>identd</tt> はリモートサイトを助けるためにあるのではありません. リモートの <tt>identd</tt> から得たデータが正しいかどうかを知る術はありません. <tt>identd</tt> のリクエストは認証を行いません.  それでは, どうして identd を使うのでしょうか? それは読者の皆さんを助けてくれるからであり, 追跡調査の際のデータになるからです. <tt>identd</tt> が悪用されていなければ, リモートサイトに TCP サービスを受けたユーザ名やユーザID を知らせることができます. リモートサイトの管理者が戻ってきて彼らのサイトが攻撃されていると言ってきた場合, 簡単にそのユーザに対して行動を起こすことができます. もし <tt>identd</tt> が動いていなければ, 大量のログを調べ, その時に誰がいたのか調べなければなりませんが, そのユーザを突き止めることは一般にとても時間がかかる作業です.  ほとんどのディストリビューションに付属している <tt>identd</tt> は一般に思われているよりも細かい設定が可能です. 特定のユーザについて <tt>identd</tt> を無効にすることができますし(<tt>.noident</tt> ファイルを作ります), <tt>identd</tt> リクエストのログを全て残すこともできますし(この設定をお勧めします), ユーザ名の代わりにユーザID や NO-USER を返すようにすることさえできます.   <SECT1>SATAN, ISS その他のネットワーク探査プログラム  マシンやネットワークのポートやサービスの探査を行うソフトウェアのパッケージはいろいろあります. SATAN や ISS, SAINT, Nessus はこの種のパッケージの中でも特に有名なものです. このソフトウェアは調査対象のマシン (あるいはネットワーク上の全ての対象マシン) の接続可能なポート全てに接続し, そのポートで提供されているサービスについて調べようとします. この情報に基づいて, サーバに対する特定の攻撃に対してマシンが脆弱であるかどうか調べることができます.  SATAN(Security Administrator's Tool for Analyzing Networks)はウェブのインタフェースを持つポート探査プログラムです. マシンあるいはネットワークに対して, light, medium, strong いずれかのチェックを行う設定ができます. SATAN を入手し, 自分のマシンやネットワークを検査し, 見つかった問題を修正するとよいでしょう. 必ず, SATAN は <url url="http://metalab.unc.edu/pub/packages/security/Satan-for-Linux/" name="metalab"> か有名 FTP/ウェブサイトから入手しましょう. 過去に, トロイの木馬が仕込まれた SATAN がネットワーク上で配布されたことがあるからです. <htmlurl url="http://www.trouble.org/~zen/satan/satan.html" name="http://www.trouble.org/~zen/satan/satan.html">. SATAN はしばらく更新されていないため, この後で説明する他のツールの方が役に立つかもしれません.  ISS (Internet Security Scanner) もポートを検査するプログラムです. ISS は SATAN よりも動作が軽いので, 大規模ネットワークに向いているでしょう. ただし, 得られる情報は SATAN の方が詳しいようです.  Abacus は, ホストベースのセキュリティと侵入者発見の機能を持つツールです. 詳しい情報については WWW 上のホームページを見てください. <htmlurl url="http://www.psionic.com/abacus" name="http://www.psionic.com/abacus/">  SAINT は SATAN の新しいバージョンです. SAINT はウェブベースであり, SATAN よりも新しい検査がたくさん追加されています. 詳しくは <htmlurl url="http://www.wwdsi.com/saint" name="http://www.wwdsi.com/saint"> を見てください.  Nessus はフリーのセキュリティ検査プログラムです. これは GTK による使いやすいグラフィカルインタフェースを持っています. また, 新しいポート探査を設定するための素晴らしいプラグイン機構を備えています. 詳しい情報については <htmlurl url="http://www.nessus.org/" name="http://www.nessus.org"> を見てください.  <sect2>ポート探査を受けたことの検出  SATAN や ISS などの探査プログラムによる探査を受けたことを警告するために設計されたツールがいくつかあります. しかし, tcp_wrappers をうまく使い, ログを定期的に見ていれば, このような探査があったことはわかります. 最低限の設定でも, SATAN は Red Hat の標準システムのログに痕跡を残します.  「見えない」ポート探査もあります. TCP ACK ビットがセットされているパケット(確立されている接続ではそうなっています)は多分, パケットフィルタリングを行う防火壁を通過するでしょう. 確立されているセッションを持たない ポートから返される RST パケットは, そのポートが生きている証拠として受け取ることができます. TCP wrappers はこれを検出できないと思います.   <SECT1> <tt>sendmail</tt>, <tt>qmail</tt> 等の MTA  ユーザに提供するサービスの中でも特に重要なものの 1 つは, メールサーバです. 残念ながら, これは攻撃に特に弱いものの 1 つでもあります. 単にその理由は, やらなければならない仕事の数が多いことと, 一般に root ユーザの権限を必要とするからです.  <tt>sendmail</tt> を使う場合には特に, 必ず最新バージョンを使うことが重要です. <tt>sendmail</tt> にはセキュリティの問題の長い長い歴史があります. いつも必ず最新バージョンを動作させましょう. <htmlurl url="http://www.sendmail.org/" name="http://www.sendmail.org">  メールを送信するだけなら sendmail を実行する必要はないことは知っておいてください. 家庭ユーザであれば, sendmail を完全に使えなくしてしまい, メールの送信には単にメールクライアントを使うということもできます. sendmail の起動ファイルから "-bd" フラグを削除しても良いでしょう. これによりメール送信のリクエストが無効になります. 言い換えれば, 今までの起動スクリプトではなく以下のコマンドを使って sendmail を実行すればよいということです: <tscreen><verb> # /usr/lib/sendmail -q15m </verb></tscreen>  これにより sendmail は, 最初に送信したときにうまく配送できなかったメールについて, 15 分ごとに送信キューをフラッシュします.  管理者の多くは sendmail を使わないで, 別のメール配送エージェントを使うようになっています. <tt>qmail</tt> への乗り換えを検討してもよいでしょう. <tt>qmail</tt> は徹底的にセキュリティに注意して設計されています. <tt>qmail</tt> は高速かつ安定, 安全です. <tt>qmail</tt> は <htmlurl url="http://www.qmail.org" name="http://www.qmail.org"> で入手することができます. 訳注: <htmlurl url="http://www.jp.qmail.org" name="http://www.jp.qmail.org"> も参考になるでしょう.  qmail の対抗馬は "postfix" です. これは tcp_wrappers 等のセキュリティ関連ツールの作者である Wietse Venema 氏が書かれたものです. 以前は vmailer と呼ばれ, IBM の支援を受けていました. これも徹底的にセキュリティに配慮して書かれたメール配送エージェントです. postfix に関するもっと詳しい情報については <htmlurl url="http://www.postfix.org/" name="http://www.postfix.org"> をご覧ください.   <SECT1> サービス妨害攻撃  「サービス妨害攻撃(Denial of Service attack, DoS attack)」は, リソースを食い潰すことにより, 正当なリクエストに応じられないようにしたり, 正当なユーザがマシンにアクセスできないようにする攻撃です.  サービス妨害攻撃は近年とても増えています. ここでは, 有名なものや最近のものをいくつか紹介します. 新しいものが常に現れるので, ここ示す例はほんの一部に過ぎない点には注意してください. 最新の情報を知るには, Linux のセキュリティ関連メーリングリストや bugtraq メーリングリストやこれらのアーカイブを読みましょう. <ITEMIZE><ITEM>  <bf>SYN Flooding</bf> - SYN flooding はネットワークでのサービス妨害攻撃です. これは TCP 接続を確立する際の手順の「抜け穴」を利用するものです. 新しい Linux カーネル(2.0.30 以降)には, SYN flooding 攻撃によりユーザがマシンやサービスにアクセスできなくなることを防ぐための設定オプションがあります. カーネルの適切な防御用オプションについては, <ref id="kernel-security" name="カーネルのセキュリティ"> の章を参照してください.  <item><bf>Pentium の "F00F" バグ</bf> -これは最近見つかったもので, 特定のアセンブリコードを純正の Intel Pentium プロセッサに送ると, マシンがリブートしてしまうというものです. この影響は, 実行している OS に関係なく Pentium プロセッサを積んでいる全てのマシンが受けます(互換 CPU や Pentium Pro, Pentium II では問題ありません). Linux 2.0.32 以降には, このバグに対する対処が入っているので, マシンが止まってしまうことはありません. カーネル 2.0.33 での対処はさらに改良されており, カーネル 2.0.32 よりもお勧めできます. 現在 Pentium を使っているのなら, カーネルのバージョンをすぐに上げましょう! <ITEM>  <bf>Ping Flooding</bf> - Ping flooding は単純な力任せのサービス妨害攻撃です. 攻撃者は対象となるマシンに ICMP パケットの「洪水(flood)」を送ります. 攻撃する側のマシンが攻撃を受ける側のマシンより広いバンド幅を持っていた場合, 攻撃を受けたマシンはネットワークに何も送れなくなってしまいます. この攻撃の一種である "smurfing 攻撃" では, あるホストに対して, あなたのマシンの IP アドレスを返答先とした ICMP パケットを送り, ばれないように洪水を送ります. "smurf" 攻撃に関する情報は <htmlurl url="http://www.quadrunner.com/~chuegen/smurf.txt" name="http://www.quadrunner.com/~chuegen/smurf.txt"> で詳しく調べることができます.  ping flooding 攻撃を受けた場合は, <tt>tcpdump</tt> などのツールを使ってどこからパケットが来たのか(あるいは来たように見えるのか)を調べ, 読者の皆さんが接続しているプロバイダにこのデータに基づいて相談しましょう. ping flood 攻撃はルータのレベルや防火壁の利用で簡単に止めることができます. <ITEM>  <bf>Ping o' Death</bf> - Ping o' Death 攻撃は, ICMP ECHO REQUEST パケットを格納するためのカーネルのデータ構造体よりも大きい ICMP ECHO REQUEST パケットを送るものです. 巨大な(65,510 バイト) "ping" パケット 1 つを送っただけで多くのシステムがハングしたり, クラッシュすることさえあるため, この問題はそのまま "Ping o' Death" という名前を授けられました. この問題はずっと前に修正されているので, 現在は心配の必要は全くありません. <ITEM>  <bf>Teardrop / New Tear</bf> - ごく最近の攻撃で, Linux と Windows プラットフォームの IP フラグメンテーションのバグを利用したものです. これに対する修正はカーネルのバージョン 2.0.33 で行われており, この修正を有効にするためにコンパイル時のオプションを選択する必要はありません. 見たところ, Linux は 'newtear' 攻撃は受け付けないようです. </ITEMIZE>  ほとんどの攻撃に関するコードおよびそのコードの動作原理に関する突っ込んだ説明は, <htmlurl url="http://www.rootshell.com" name="http://www.rootshell.com"> の検索エンジンを使って調べることができます.   <SECT1> NFS (Network File System) のセキュリティ  NFS は大変広く使われているファイル共有プロトコルです. <tt>nfsd</tt> と <tt>mountd</tt> が動作しているサーバマシンは, カーネルに NFS ファイルシステムのサポートが組み込まれている他のマシン(NFS クライアント機能をサポートしていれば Linux でなくても構いません)にファイルシステム全体を「エクスポート」することができます. <tt>mountd</tt> は <tt>/etc/mtab</tt> に記録されているマウントされているファイルシステムを監視しています. これらのファイルシステムは <tt>showmount</tt> コマンドで表示することができます.  多くのサイトでは, ユーザのホームディレクトリを提供するために NFS を用いており, LAN のどのマシンにログインした場合にも同じホームディレクトリを使うことができます.  ファイルシステムをエクスポートする時には, 少しだけセキュリティをかけることができます. <tt>nfsd</tt> にはリモートの root ユーザ(ユーザID = 0) を nobody ユーザとして扱わせ, エクスポートしたファイル全体にはアクセスできないように設定できます. しかし, 個々のユーザは自分の(あるいは少なくとも同じユーザ ID の)ファイルにはアクセスできるので, ローカルのスーパーユーザはそのユーザとしてログインするか <tt>su</tt> を行えば, そのユーザのファイル全てにアクセスすることができます. つまり, この方法は読者の皆さんのリモートファイルシステムをマウントできる攻撃者に対してはちょっとした妨害にしかなりません.  NFS を使わなければならない場合は, 本当に必要なマシンだけにエクスポートすることを徹底しましょう. ルートディレクトリ以下全部をエクスポートするようなことは絶対に行ってはなりません. エクスポートの必要があるディレクトリだけをエクスポートしましょう.  NFS に関する詳しい情報については NFS HOWTO を参照してください. これは <htmlurl url="http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html" name="http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html"> にあります.   <SECT1> NIS (Network Information service) (かつての YP)  NIS (かつての YP) は, 多数のマシンに情報を配布するための仕組みです. NIS マスタは情報テーブルを保持し, これを NIS マップファイルに変換します. このマップはネットワーク上で得ることができるので, NIS クライアントはログイン名, パスワード, ホームディレクトリ, シェルの情報(標準的な <tt>/etc/passwd</tt> ファイルに書かれている全ての情報)を得ることができます. これにより, パスワードを一度変えるだけで, NIS ドメイン上の全てのマシンで新しい設定を有効にできます.  NIS は全く安全ではありません. そもそも安全にするつもりもなく, 手軽で便利に使うことが目的でした. NIS ドメインの名前を推測できれば誰でも(ネットワークのどこからでも)パスワードファイルのコピーを得ることができ, "Crack" や "John the Ripper" 等を使ってパスワードを破ることができます. また, なりすまし等の汚いトリックも色々可能です. NIS を使わなければならない場合には, この危険性は知っておいてください.  NIS+ と呼ばれる NIS よりもずっと安全な代替策があります. 詳しくは NIS HOWTO を参照してください: (<htmlurl url="http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html" name="http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html">).   <SECT1> 防火壁(ファイアウォール)  防火壁は, ローカルのネットワークに出入りできる情報を制御するための仕組みです. 普通, 防火壁になるホストはインターネットとローカルの LAN に接続され, あなたの LAN からインターネットへのアクセスは防火壁を通り抜けるしかないようになっています. このように, 防火壁はインターネットと LAN の行き来を制御します.  防火壁にはたくさんの種類があり, その設定方法もたくさんあります. Linux はかなり良い防火壁になります. 防火壁のコードは 2.0 以降のカーネルに組み込むことができます. カーネル 2.0 にはユーザ空間で動作する <tt>ipfwadm</tt>, カーネル 2.2 には <tt>ipchains</tt> というツールを使って, 許可するネットワークトラフィックの種類をシステムの動作中に変更することができます. 特定のネットワークトラフィックのログを取ることもできます.  防火壁はネットワークを守るために大変便利かつ重要な技術です. ただし, 防火壁があるからといって, その内部のマシンのセキュリティが不必要なわけでは決してありません. これは極めて重大な誤りです. 防火壁と Linux についての詳しい情報については, metalab の最新のアーカイブにある <tt>Firewall-HOWTO</tt> がとても良い資料なので, これを参照してください (<htmlurl url="http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html" name="http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html">).  更に IP-Masquerade mini-howto にも情報があります (<htmlurl url="http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html" name="http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html">).  <tt>ipfwadm</tt> (防火壁の設定を変更するためのツール) に関する詳しい情報は以下のホームページにあります: <htmlurl url="http://www.xos.nl/linux/ipfwadm/" name="http://www.xos.nl/linux/ipfwadm/">  防火壁に関する経験をお持ちでないのに, 単なるセキュリティ方針だけでなく防火壁そのものを設定する予定であれば, O'Reilly and Associates 社の書籍「Firewalls」またはその他のオンラインドキュメントを必ず読んでください. この書籍の詳しい情報については <htmlurl url="http://www.ora.com/" name="http://www.ora.com/"> をご覧ください. 国立標準技術研究所 (The National Institute of Standards and Technology) も防火壁に関する素晴らしいドキュメントをまとめています. 日付は 1995 年となっていますが, 現在でも非常に役立ちます. これは <htmlurl url="http://csrc.nist.gov/nistpubs/800-10/main.html" name="http://csrc.nist.gov/nistpubs/800-10/main.html"> にあります. ほかには: <ITEMIZE>  <ITEM> The Freefire Project -- フリーに利用できる防火壁用ツールのリストです. <htmlurl url="http://sites.inka.de/sites/lina/freefire-l/index_en.html" name="http://sites.inka.de/sites/lina/freefire-l/index_en.html"> にあります.  <ITEM> SunWorld Firewall Design -- O'Reilly の書籍の著者が書いたドキュメントであり, 各種の防火壁を簡単に紹介しています. <htmlurl url="http://www.sunworld.com/swol-01-1996/swol-01-firewall.html" name="http://www.sunworld.com/swol-01-1996/swol-01-firewall.html"> にあります.  <ITEM>Mason -- Linux 向けの防火壁自動構築ツールです. あなたがネットワークでやりたいことをやれば, それを学習する防火壁スクリプトです! 詳しくは: <htmlurl url="http://www.pobox.com/~wstearns/mason/" name="http://www.pobox.com/~wstearns/mason/"> をどうぞ. </ITEMIZE>   <SECT1> IP Chains - Linux カーネル 2.2.x における防火壁の構築  Linux の IP Firewalling Chains はカーネル 2.0 の防火壁用のコードをカーネル 2.2 用に更新したものです. これは以前の実装よりもずっと多くの機能を持っています. 以下に列挙します: <itemize>  <item> より柔軟なパケット操作  <item> より複雑なアカウンティング  <item> 非常に細かい操作ができ, 簡単なポリシー変更  <item> フラグメントの明示的なブロックや拒否など  <item> 怪しいパケットの記録  <item> ICMP/TCP/UDP 以外のプロトコルの処理 </itemize>  現在, カーネル 2.0 で <tt>ipfwadm</tt> をお使いであれば, <tt>ipfwadm</tt> のコマンド形式を <tt>ipchains</tt> で使える形式に変換するスクリプトがあります.  詳しくは IP Chains HOWTO をお読みください. これは <htmlurl url="http://www.rustcorp.com/linux/ipchains/HOWTO.html" name="http://www.rustcorp.com/linux/ipchains/HOWTO.html"> にあります.   <SECT1> 仮想プライベートネットワーク(VPN, Virtual Private Network)  VPN は何らかの既存ネットワークの上に「仮想的な」ネットワークを確立する手法です. この仮想ネットワークは, 暗号化されていたり, ネットワークに加わっている何らかの既知の存在との間のトラフィックしか通さないようになっていたりします. VPN は, 家で作業している人と会社の内部ネットワークをインターネット経由で接続するためにもよく使われます.  Linux の IP マスカレードを行う防火壁を使っており, かつ MS の PPTP (Microsoft 製の VPN 接続のための製品) パケットを通過させる必要がある場合には, これを行うためのカーネルパッチを使ってください. <htmlurl url="ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html" name="ip-masq-vpn"> をご覧ください.  Linux で利用できる VPN のソリューションはいくつかあります: <ITEMIZE>  <ITEM> vpnd. <htmlurl url="http://sunsite.auc.dk/vpnd/" name="http://sunsite.auc.dk/vpnd/"> をご覧ください.  <ITEM> Free S/Wan. <htmlurl url="http://www.xs4all.nl/~freeswan/" name="http://www.xs4all.nl/~freeswan/"> をご覧ください.  <ITEM> ssh を使って VPN を構築することができます. 詳しくは VPN mini-howto をご覧ください.  <ITEM> vps (virtual private server). <htmlurl url="http://www.strongcrypto.com" name="http://www.strongcrypto.com"> をご覧ください. </ITEMIZE>  情報ポインタや詳しい情報については, IPSEC の章もご覧ください.   <SECT> セキュリティの準備 (ネットワークに接続する前に)<label id="secure-prep">  さて, システムのチェックが終わり, 安全かつ使いやすいものになり, ネットワークに接続する準備ができました. ここでは, 実際に侵入された場合に備えての準備のためにすべきことをいくつか挙げます. これを行っておけば, 侵入者をすぐに追い払い, システムを復旧, 稼働させることができます.  <SECT1> マシン全体のバックアップの作成   バックアップの方法や保存媒体についての議論は本ドキュメントの範囲外ですが, バックアップとセキュリティについて簡単に触れておきます:  1 つのパーティションに入っているデータが 650MB 以下であれば, CD-R にデータをコピーすると良いでしょう(改竄が困難ですし, きちんと保管すれば長期間保存できます). テープなどの読み書き可能なメディアは, バックアップが終わり次第書き込み禁止にし, 改竄できないようにすべきです. バックアップはオンラインでアクセスできない場所に置きましょう. 良いバックアップを作っておけば, 何かあった時にシステムをその時点に復旧させることができます.  <SECT1> 適切なバックアップ計画の決定   6 本のテープを使い回すと管理が楽です. 4 本のテープを平日に使い, 残りの 2 本は 1 本ずつ金曜日に隔週で使います. 毎日インクリメンタルバックアップを実行し, 金曜日のテープ(適切な方)にはフルバックアップを取ります. 特に重要な変更がシステムにあった場合や, 重要なデータを加えた場合には, バックアップを行うのが適切でしょう.  <SECT1> RPM ファイルデータベースや Debian のファイルデータベースのバックアップ   システムに侵入された時に RPM データベースを <tt>tripwire</tt> 代わりに使うことができますが, これはデータベースが改竄されていないことが確実な場合だけです. ですから, RPM データベースをフロッピーディスクにコピーしておき, コンピュータから取り出して保管しておきましょう. Debian ディストリビューションについても同様です.  ファイル <tt>/var/lib/rpm/fileindex.rpm</tt> や <tt>/var/lib/rpm/packages.rpm</tt> は大抵フロッピーディスク 1 枚には収まらないでしょう. ですが圧縮すれば別々のフロッピーディスクに収めることができるはずです.  仮にシステムに侵入されてしまったときには, 次のコマンドを実行してシステムの各ファイルを検査します: <tscreen><verb> root# rpm -Va </verb></tscreen>  <tt>rpm</tt> のオンラインマニュアルを参照すれば, 出力を少なくするオプションに関する説明があります. RPM のバイナリ自体が改竄されていないことも確認すべきである点は忘れないでください.  この方法を使う場合には, 新しい RPM パッケージを追加するごとに RPM データベースのバックアップを取らなければなりません. この方法を使うかどうかは利点と欠点を考え合わせて決めてください.   <SECT1> システムログの監視<label id="logs">  <tt>syslog</tt> から得られる情報が改竄されないようにするのはとても重要です. まず, <tt>/var/log</tt> を特定のユーザしか読み書きできないようにしておきましょう.  ログに出力されていること, 特に <tt>auth</tt> の項目には目を通しましょう. 例えばログイン失敗が続いていると, これは侵入の試みの痕跡かもしれません.  ログがどこにあるかはディストリビューションによって異なります. Red Hat のように "Linux Filesystem Standard" に準拠しているシステムであれば, <tt>/var/log</tt> に <tt>messages</tt> ファイルや <tt>mail.log</tt> 等があるはずです.  自分が使っているディストリビューションがどこにログを出力しているのかは, <tt>/etc/syslog.conf</tt> ファイルを見ればわかります. これは <tt>syslogd</tt> (システムのログを取るためのデーモン)に, メッセージの出力の仕方を指示するファイルです.  ログが長くなり過ぎないようにし, 検査もしやすくするために, ログをローテートさせるスクリプトやデーモンを設定することもできます. 最近の Red Hat ディストリビューションでは <tt>logrotate</tt> パッケージを調べてみましょう. 他のディストリビューションにも同様の仕組みがあるはずです.  ログファイルが改竄されてしまっても, いつ, どんな種類の改竄が行われたのかを調べましょう. 長期間記録されていない項目はありませんか? (もしあるならば)バックアップのテープで, 改竄されていないログをチェックすることもできます.  侵入の痕跡を消すため, 侵入者は一般的にログファイルを改竄しますが, それでも思わぬところでチェックに引っかかることもあります. 入口を見つけようとしていたり, root 権限を得るためプログラムを不正使用しようとしている侵入者に気づくかもしれません. 侵入者がログを改竄するより前に, ログを見ましょう.  <tt>su</tt> によるユーザ変更やログインの試み等のユーザアカウント情報を含む <tt>auth</tt> の項目は, 他のログから分離すべきでしょう.  可能ならば, 重要なデータのコピーを安全なシステムに送るように <tt>syslog</tt> を設定しましょう. これにより, login/su/ftp 等の記録を消して侵入者が足跡を消してしまうことを防げます. <tt>syslog.conf</tt> のオンラインマニュアルの <tt>@</tt> オプションを参照してください.  高機能版の <tt>syslogd</tt> がいくつかあります. 例えば <htmlurl url="http://www.core-sdi.com/ssyslog/" name="http://www.core-sdi.com/ssyslog/"> にある Secure Syslog をご覧ください. Secure Syslog を使うと syslog のエントリを暗号化して誰も改竄できないようにします.  別の高機能 <tt>syslogd</tt> としては <htmlurl url="http://www.balabit.hu/products/syslog-ng.html" name="syslog-ng"> があります. これを用いるとログの記録をより柔軟に行うことができ, またリモートの syslog のストリームを改竄できないようにします.  最後になりますが, 誰も読んでいないようなログは役に立ちません. 適当に間隔を取ってログを読み, いつもはどんな感じであるのかを感覚的に知っておきましょう. そうしておけば, 異常があった場合にすぐに見つけることができます.  <SECT1> システム更新パッケージの適用   ほとんどのユーザは Linux を CD-ROM からインストールします. しかし, セキュリティのためのシステム修正は速いペースで行われているので, 新しい (修正済みの)プログラムが常にリリースされています. マシンをネットワークに接続する前には, お使いのディストリビューションの FTP サイトをチェックし, インストールに使った CD-ROM より新しいパッケージを全て手に入れましょう. これらのパッケージにはセキュリティ関連の重要な修正が入っていることが多いので, これをインストールするのは良い考えです.   <SECT> システムに侵入された場合や現在侵入されている場合の対応<label id="after-breakin">  本ドキュメント(あるいは他の)のアドバイスに従っていて, システムへの侵入を発見した場合にはどうすべきでしょうか? まず最初にすべきことは, 平静を保つことです. あわてて行動すると, 侵入者にやられるよりも悲惨なことになるかもしれません.   <SECT1> セキュリティが破られている最中  セキュリティが破られている最中であることに気づくと, 緊張する仕事を強いられることになるでしょう. あなたがどのように対処するかは, 重大な意味を持ちうるからです.  それが物理的な攻撃であるのなら, あなたは家や会社, 研究室に何者か侵入したことに気づいたということなのでしょう. まずは, このことをその場所の責任者に知らせるべきです. 研究室ならば, 誰かがケースを開けようとしていたり, マシンをリブートしようとしているのを見つけたのかもしれません. この場合には, あなたの権限と職務手順に基づいて, 相手を止めるか警備員に連絡することになるでしょう.  ローカルのユーザがセキュリティを破ろうとしているのを見つけた場合には, まずは本当にその本人なのかどうか確認しましょう. その人がログインしてきている元のサイトを調べましょう. そのサイトはその人が普段ログインしてくるところですか? 違うのならば, 非ネットワーク的な手段で連絡を取りましょう. 例えば, その人のオフィスや家に電話したり直接赴いてから話をするのです. その人が自分がやったことを認めたら, 何をしようとしていたのか説明させたり, それをやめるように伝えます. 何もしていないとか, 全く身に覚えが無いと言われた場合には, この事件は更に調査が必要でしょう. 告発を行う前には, まず事件を調べて多くの情報を集めましょう.  ネットワークでの攻撃を見つけた場合には, まずは(可能ならば)ネットワークへの接続を切り離します. モデム接続ならばモデムケーブルを抜き, イーサネット接続ならばイーサネットケーブルを抜きましょう. これにより, より大きな被害を防ぐことができますし, 相手側にも発見に気づかせず, ネットワークの問題だと思わせることができるかもしれません.  ネットワーク接続を切り離せない場合(忙しいサイトや, マシンを物理的に操作できない場合)には, 次善の策として, <tt>tcp_wrappers</tt> や <tt>ipfwadm</tt> のようなツールを使って侵入者のサイトからのアクセスを拒否しましょう.  侵入者と同じサイトのユーザを全て拒否することができない場合は, ユーザアカウントをロックすべきです. ユーザアカウントをロックするのは容易でないことには注意してください. <tt>.rhosts</tt> ファイル, FTP でのアクセス, 裏口になり得るホストには気を付けてください.  以上の処置(ネットワークの切断, 攻撃者のサイトからのアクセス拒否, アカウントの停止)の後は, これらのユーザのプロセスを全て止め, ログアウトさせます.  攻撃者は戻ってこようとするでしょうから, その後しばらくは自分のサイトを監視すべきです. おそらく, 別のアカウントや別のネットワークアドレスを使ってくるでしょう.   <SECT1> 既にセキュリティが破られてしまった場合  既にシステムに侵入されてしまったことに気づいた場合や, 侵入に気づいて (願わくば)侵入者をシステムから追い出した場合にはどうすればいいでしょうか?   <SECT2> セキュリティの穴を塞ぐ  攻撃者がシステムに侵入した方法を調べることができたら, 今度はその穴を塞がなければなりません. 例えば, そのユーザがログインする直前にいくつか FTP のエントリがあったとします. その場合には FTP のサービスを停止し, 新しいバージョンのサーバが出ていないか, あるいはセキュリティ関係のメーリングリストに修正方法が投稿されていないかを調べましょう.  全てのログファイルを調べ, セキュリティ関係のメーリングリストやウェブページを調べ, 修正可能な新しい一般的な弱点が出ていないか調べます. Caldela のセキュリティ修正は <htmlurl url="http://www.caldera.com/tech-ref/security/" name="http://www.caldera.com/tech-ref/security/"> にあります. Red Hat はまだセキュリティ修正とバグ修正を分離していませんが, ディストリビューションの訂正は <htmlurl url="http://www.redhat.com/errata" name="http://www.redhat.com/errata"> にあります.  Debian にはセキュリティのためのメーリングリストと WWW ページがあります. 詳しくは <htmlurl url="http://www.debian.org/security/" name="http://www.debian.org/security/"> を見てください.  あるベンダがセキュリティ更新パッケージをリリースしていれば, ほぼ確実に他の Linux ベンダもセキュリティ更新パッケージを出しているでしょう.  現在はセキュリティ監査を行うプロジェクトがあります. このプロジェクトは, ユーザ空間で動作するユーティリティを組織的に全て検査して, セキュリティ的な弱点やオーバーフローの可能性がある部分を探す作業を行っています. このプロジェクトによるアナウンスを以下に引用します:  <quote> 「我々は Linux 関連のソースコードの組織的な監査を行って OpenBSD と同じくらい安全にしようとしています. 我々は既にいくつかの問題を明らかにして (そして修正して)いますが, まだまだ助力が必要です. このメーリングリストは誰でも投稿できますし, セキュリティ関連の一般的な議論にも役立つリソースです. このメーリングリストのアドレスは security-audit@ferret.lmh.ox.ac.uk です. 購読するには security-audit-subscribe@ferret.lmh.ox.ac.uk 宛に空メールを送ってください」 </quote>  攻撃者を締め出さなければ, 彼らはまた戻ってくるでしょう. あなたのマシンに戻ってくるだけでなく, 同じ LAN にある他のマシンにも来るかもしれません. 彼らがパケット盗聴プログラムを実行していたら, 大抵, 他のマシンにもアクセスできるようになっていることでしょう.   <SECT2> 被害の見積り  まず被害の見積りを行います. 何が壊されたのでしょうか? <tt>Tripwire</tt> のようなシステムの完全性をチェックするプログラムを実行していれば, なにがやられたのか調べる助けとなるはずです. さもなくば, 重要なデータを全て個別に確認しなければならないでしょう.  最近は Linux のシステムのインストールが簡単になったので, 設定ファイルを保存しておいてからディスクをフォーマットし直し, 再インストール, ユーザのファイルと設定ファイルを書き戻すという手順を考えてみてもよいでしょう. こうすれば, 新しくてきれいなシステムであることを保証できます. 破られたシステムからファイルのバックアップを行わなければならない場合は, バイナリを書き戻す時には特に注意しましょう. 侵入者がトロイの木馬を置いているかもしれないからです.  侵入者に root 権限を奪われた場合には, 再インストールも必須だと考えてください. 加えて, 証拠を残しておきたいと思うでしょうから, 予備のディスクを金庫に保管しておくことも無駄ではないかもしれません.  その後は, どれだけ前にやられたのか, そして壊された成果はバックアップに入っているのかどうかを心配しなければなりません. できるだけ新しいバックアップを使いましょう.   <SECT2> バックアップ, バックアップ, バックアップ!  セキュリティの問題において, 定期的なバックアップは大変貴重なものです. システムが破壊された場合, 必要なデータをバックアップから書き戻すことができます. もちろん攻撃者にとって価値のあるデータもありますから, 彼らはデータを破壊するだけでなく, 盗んでしまうかもしれません. それでも最低限こちら側にデータだけは残ります.  改竄されたファイルをバックアップから書き戻す前には, 過去に亙って複数のバックアップを必ず調べましょう. 侵入者がずっと前からファイルを壊しているかもしれないし, 壊されたファイルの正しいバックアップを取っているかもしれません!  もちろん, バックアップにまつわるセキュリティの問題もたくさんあります. バックアップは安全な場所に保管しましょう. 誰がバックアップに触れるのかを知っておきましょう. (もし攻撃者がバックアップを手に入れてしまったら, 知らないうちにあなたの持つ全てのデータにアクセスされてしまいます. )   <SECT2> 侵入者を突き止める  さて, 侵入者を締め出して, システムを復旧させましたが, まだ全ては終わっていません. 侵入者が捕まることはまずありませんが, 攻撃を受けたことは報告しておくべきです.  あなたのシステムに攻撃を行った攻撃者のサイトの管理者の連絡先に, 攻撃を受けたことを報告しましょう. この連絡先は <tt>whois</tt> コマンドか, InterNIC のデータベースで調べることができます. 適切なログのエントリと日時を相手にメールで送りましょう. 他にもわかっている侵入者の特徴があれば, それも知らせましょう. メールを送った後に (気になるなら) 電話をすべきです. その管理者があなたのサイトへの攻撃者に気づいたら, 今度はこの管理者が, 攻撃者がやってきているサイトの管理者に話ができるかもしれません.  腕の立つクラッカーは, クラックしたシステムを間にいくつか挟んで攻撃してくることがよくあります. その経路には自分達がシステムを破られたことさえ知らないサイトも(たくさん)あります. ですから, クラッカーの本拠地を追跡して突き止めることは困難です. 話をした管理者が役に立たなくても, その辺りの配慮をしてあげましょう.  また, 自分が所属しているセキュリティ関連団体(<url url="http://www.cert.org/" name="CERT"> 等)や, お使いの Linux システムのベンダにも報告すべきです.   <SECT> セキュリティ関係の情報源<label id="sources">  UNIX 一般のセキュリティと Linux 特定のセキュリティのいずれについても, 良いサイトがたくさんあります. セキュリティに関するメーリングリストを 1 つ(あるいはそれ以上)購読し, セキュリティに関する修正を常に最新の状態にしておくことが重要です. 以下に挙げるリストは量こそ少ないですが, とても有益なものです.   <SECT1> FTP サイト<label id="ftpsites">  CERT は Computer Emergency Response Team の略です. CERT は最新の攻撃やその対処についての警告を発行しています. 詳しくは <htmlurl url="ftp://ftp.cert.org" name="cert.org"> を見てください.  ZEDZ (元は Replay と呼ばれていました) (<htmlurl url="http://www.zedz.net" name="http://www.zedz.net">) にはセキュリティ関連プログラムの大きなアーカイブがあります. このサイトはアメリカ合衆国国内にはありませんので, アメリカの馬鹿げた暗号規制に従う必要はありません.  Matt Blaze 氏は CFS の作者であり, セキュリティの大家です. Matt 氏のアーカイブが <url url="ftp://ftp.research.att.com/pub/mab" name="ftp://ftp.research.att.com/pub/mab"> にあります.  <tt>tue.nl</tt> はオランダにある大きなセキュリティ関係 FTP サイトです. <htmlurl url="ftp://ftp.win.tue.nl/pub/security/" name="ftp.win.tue.nl">   <SECT1>ウェブサイト<label id="websites"> <ITEMIZE> <ITEM>  The Hacker FAQ はハッカーに関する FAQ です: <htmlurl url="http://www.solon.com/~seebs/faqs/hacker.html" name="The Hacker FAQ"> <ITEM>  COAST アーカイブには UNIX のセキュリティ関連プログラムと情報がたくさんあります: <htmlurl url="http://www.cs.purdue.edu/coast/" name="COAST">  <ITEM> SuSe によるセキュリティのページ: <htmlurl url="http://www.suse.de/security/" name="http://www.suse.de/security/"> <ITEM>  Rootshell.com はシステムの問題を知るのに大変役立つサイトで, 現在はクラッカーにも使われています: <htmlurl url="http://www.rootshell.com/" name="http://www.rootshell.com/"> <ITEM>  BUGTRAQ はセキュリティに関する勧告を発行しています: <htmlurl url="http://www.netspace.org/lsv-archive/bugtraq.html" name="BUGTRAQ archives"> <ITEM>  CERT (the Computer Emergency Response Team) は UNIX に対する一般的な攻撃に関する勧告を発行しています: <htmlurl url="http://www.cert.org/" name="CERT のホームページ"> 訳注: 日本では <htmlurl url="http://www.jpcert.or.jp/" name="JPCERT (コンピュータ緊急対応センター)"> が活動しています. <ITEM>  Dan Farmer 氏は SATAN 等のセキュリティ関連ツールの作者です. 氏のホームページにはセキュリティに関する興味深い調査結果やセキュリティ関連ツールがあります: <htmlurl url="http://www.trouble.org" name="Dan Farmers trouble.org"> <ITEM>  The linux security WWW は Linux のセキュリティ情報を調べるのに便利なサイトです: <htmlurl url="http://www.aoy.com/Linux/Security/" name="Linux Security WWW"> <ITEM>  Infilsec には特定のプラットフォームのセキュリティ的な弱点を調べることができる検索エンジン(vulnerability engine)があります: <htmlurl url="http://www.infilsec.com/vulnerabilities/" name="http://www.infilsec.com/vulnerabilities/"> <ITEM>  CIAC は一般的な問題について定期的にセキュリティ bulitin を送ってくれます: <htmlurl url="http://ciac.llnl.gov/cgi-bin/index/bulletins" name="http://ciac.llnl.gov/cgi-bin/index/bulletins"> <ITEM>  Linux Pluggable Authentication Modules(差し替え可能な認証モジュール)の良い入門が <htmlurl url="http://www.kernel.org/pub/linux/libs/pam/" name="http://www.kernel.org/pub/linux/libs/pam/"> にあります. <ITEM>  Debian プロジェクトにはセキュリティ関係の修正パッケージと情報を載せた WWW ページがあります (<htmlurl url="http://www.debian.org/security/" name="http://www.debian.org/security/">).  <ITEM> WWW Security FAQ: これは Lincoln Stein 氏が書かれた文書で, WWW のセキュリティに関する素晴らしい参考文献です. <htmlurl url="http://www.w3.org/Security/Faq/www-security-faq.html" name="http://www.w3.org/Security/Faq/www-security-faq.html"> をご覧ください. </ITEMIZE>   <SECT1>メーリングリスト  Bugtraq: Bugtraq を購読するには, listserv@netspace.org 宛に本文が <verb>subscribe bugtraq</verb> であるメールを送ります. (メーリングリストのアーカイブについては, 前述のリンクを参照してください)  CIAC: majordomo@tholia.llnl.gov 宛に, 本文(サブジェクトではありません)が <verb>subscribe ciac-bulletin</verb> であるメールを送ります.  Red Hat はたくさんのメーリングリストを運営していますが, その中でも特に重要なのが redhat-announce メーリングリストです. セキュリティ (や, その他) の修正パッケージに関する情報が出るとすぐにここに投稿されます. Subject が <verb>Subscribe</verb> であるメールを redhat-announce-list-request@redhat.com 宛に送ってください. より詳しい情報や記事のアーカイブについては <htmlurl url="http://www.redhat.com/mailing-lists/redhat-announce-list/" name="http://www.redhat.com/mailing-lists/redhat-announce-list/"> をご覧ください.  Debian プロジェクトもセキュリティ更新パッケージを扱うメーリングリストを運営しています. 詳しくは <htmlurl url="http://www.debian.org/security/" name="http://www.debian.org/security/"> をご覧ください.   <SECT1>書籍  セキュリティ関係の良書はたくさんあります. この章ではその一部を紹介します. セキュリティ専門の本に加え, システム管理の本の多くでもセキュリティの話題を扱っています. 訳注: これらの本の和訳があればぜひお知らせください. Building Internet Firewalls By D. Brent Chapman & Elizabeth D. Zwicky 1st Edition September 1995 ISBN: 1-56592-124-0 訳注: 和訳は 歌代和正監訳「ファイアウォールの構築～インターネットセキュリティ～」 株式会社オライリージャパン, 1996 ISBN: 4-900900-03-6 紹介ページ: http://www.oreilly.co.jp/BOOK/firewall/ です. Practical UNIX & Internet Security, 2nd Edition By Simson Garfinkel & Gene Spafford 2nd Edition April 1996 ISBN: 1-56592-148-8 訳注: 和訳は 山口英監訳「UNIX & インターネットセキュリティ」 株式会社オライリージャパン, 1998 ISBN: 4-900900-38-9 紹介ページ: http://www.oreilly.co.jp/BOOK/puis/ です. Computer Security Basics By Deborah Russell & G.T. Gangemi, Sr. 1st Edition July 1991 ISBN: 0-937175-71-4 Linux Network Administrator's Guide By Olaf Kirch 1st Edition January 1995 ISBN: 1-56592-087-2 PGP: Pretty Good Privacy By Simson Garfinkel 1st Edition December 1994 ISBN: 1-56592-098-8 訳注: 和訳は 山本和彦監訳「PGP 暗号メールと電子署名」 株式会社オライリージャパン, 1996 ISBN: 4-900900-02-8 です. Computer Crime A Crimefighter's Handbook By David Icove, Karl Seger & William VonStorch (Consulting Editor Eugene H. Spafford) 1st Edition August 1995 ISBN: 1-56592-086-4 Linux Security By John S. Flowers New Riders; ISBN: 0735700354 March 1999 Maximum Linux Security : A Hacker's Guide to Protecting Your Linux Server and Network Anonymous Paperback - 829 pages Sams; ISBN: 0672313413 July 1999 訳注: 和訳は トップスタジオ訳「Linux版クラッカー迎撃完全ガイド」 株式会社インプレス, 2000 ISBN: 4844313606 です. Intrusion Detection By Terry Escamilla Paperback - 416 pages (September 1998) John Wiley and Sons; ISBN: 0471290009 Fighting Computer Crime Donn Parker Paperback - 526 pages (September 1998) John Wiley and Sons; ISBN: 0471163783  <SECT> 用語解説  <ITEMIZE>  <ITEM><bf>認証(authentication):</bf> 受け取ったデータが送られたものと同じかどうか調べる過程や, データの送り主が本当に実際に本人であるかどうかを確認すること.  <ITEM><bf>要塞ホスト(bastion host):</bf>通常はインターネットに接続したり, 内部ネットワークでユーザがアクセスする中心ホスト. 何も備えがないシステムは攻撃に対して脆弱であるため, 高度に安全にしなければならない. この名前は中世の城砦の外壁の高度な防御工事に由来する. 要塞の監督は守備の要であり, 通常は頑丈な壁があり, 騎兵隊の詰所があり, 攻撃者を撃退するための油や熱湯を入れる桶がある.  <ITEM><bf>バッファオーバーフロー(buffer overflow):</bf> 通常のプログラムの書き方では, 「十分長いバッファ」を確保されず, バッファのオーバーフローのチェックも行われないことがある. このようなバッファがオーバーフローすると, プログラム(デーモンや setuid されたプログラム)を動作中に他の目的に悪用することが可能である. 一般的に, これはスタック上の関数の戻り先を他の場所に上書きすることで行われる.  <ITEM><bf>サービス妨害攻撃(denial of service):</bf> サービス妨害攻撃は, 攻撃者が本来の目的とは異なる使い方でコンピュータの資源を食い潰し, 通常のネットワーク資源の利用を妨害する攻撃である.  <ITEM><bf>dual-homed host:</bf> 少なくとも 2 つのネットワークインタフェースを持つ, 汎用のコンピュータシステム.  <ITEM><bf>防火壁(firewall):</bf> 保護されたネットワークとインターネット間, あるいは異なるネットワーク同士の間のアクセスを制限するコンポーネントあるいはコンポーネントの集合.  <ITEM><bf>ホスト(host):</bf> ネットワークに接続されたコンピュータ  <ITEM><bf>IP 詐称(IP spoofing):</bf> IP 詐称は複数の要素からなる, 技術的に複雑な攻撃である. 信頼関係に基づく計算機の利用ををぺてんにかけ, あなたは本当にあなたなのか? という疑心暗鬼に追い込むというセキュリティ攻撃となる. daemon9, route, infinity によって書かれた詳しいペーパーが Phrack Magazine の第 7 巻, 第 48 号にある.  <ITEM><bf>否認防止性(non-repudiation):</bf> 送り主がデータを送ったことを後から否定しようとしても, その送り主が実際にデータを送ったことをデータを受け取った側が証明できるという性質.  <ITEM><bf>パケット(packet):</bf> インターネットにおける通信の基本単位.  <ITEM><bf>パケットフィルタリング(packet filtering:)</bf> ネットワークを出入りするデータの流れを選択的に制御すること. パケットフィルタは, 通常は外部ネットワークとの間のルーティングの時に, パケットの通行を許可あるいは禁止する(普通はインターネットと内部ネットワークの間). パケットフィルタリングを行うためには, 許可または禁止するパケットの種類(特定の IP あるいはポートで指定)を指定するルールを設定する必要がある.  <ITEM><bf>境界ネットワーク(perimeter network):</bf> セキュリティの層を追加するために, 保護されたネットワークと外部ネットワークとの間に作るネットワーク. 境界ネットワークは非武装地帯(DMZ, demilitarized zone)と呼ばれることもある.  <ITEM><bf>代理サーバ(proxy server):</bf> 内部クライアントに外部サーバへアクセスさせるためのプログラム. クライアントは代理サーバにアクセスし, 代理サーバは, クライアントの許可したリクエストを実際のサーバに中継し, その応答をクライアントに中継する.  <ITEM><bf>ユーパーユーザ(superuser):</bf> <tt>root</tt> の通称. </ITEMIZE>   <SECT> よくある質問<label id="q-and-a"> <enum>  <ITEM> ドライバをカーネルに直接組み込むのと, モジュールとして作成するのでは, どちらが安全でしょうか?  回答: モジュールを用いたデバイスドライバのロード機能は無効にしておく方が良いという意見の人もいます. というのも, 侵入者がトロイの木馬を仕込んだモジュールやシステムのセキュリティに影響を与えるモジュールをロードするかもしれないからです.  しかし, モジュールを読み込むためには root にならなくてはなりません. モジュールのオブジェクトファイルを書き換えることができるのも root だけです. つまり, 侵入者がモジュールを組み込むためには, root 権限が必要です. 逆に侵入者が root 権限を得てしまったら, モジュールをロードするかどうかということよりも, もっと深刻な事態になります.  モジュールはあまり頻繁に使用しない特定デバイスを動的に読み込むための仕組みです. 例えばサーバマシンや防火壁などでは, こういうことはあまり起こりません. 従って, サーバとして動かすマシンでは, カーネルに直接ドライバを組み込む方が良いでしょう. また, モジュールを使うと直接カーネルに組み込む場合よりも動作が遅くなります.  <ITEM> リモートのマシンから root でログインできません.  回答: <ref id="root-security" name="root のセキュリティ">の章を読みましょう. これはリモートのユーザが <tt>telnet</tt> で <tt>root</tt> としてログインしようとするのを防ぐため, わざとそうしているのです. <tt>root</tt> として <tt>telnet</tt> でログインするのはセキュリティ的に非常に危険なことです. ルートのパスワードが平文のまま (暗号化されずに) ネットワークに送出されてしまうでしょう. 侵入者になる可能性を持った人は常にあなたのそばにいて, パスワードを盗むためのプログラムを自動的に動かしていることを忘れてはなりません.  <item> Red Hat Linux 4.2, 5.x でシャドウパスワードを使うにはどうすれば良いでしょう?  回答: シャドウパスワードを有効にするには, root で <tt>pwconv</tt> を実行します. <tt>/etc/shadow</tt> が存在し, アプリケーションがこれに対応していなければいけません. Red Hat 4.2 以降をご利用なら, 他に変更することなく, PAM モジュールが自動的に普通の <tt>/etc/passwd</tt> からシャドウパスワードへの移行に追従してくれます. 背景説明: シャドウパスワードは, 標準の <tt>/etc/passwd</tt> ファイル以外のファイルにパスワードを格納する機構です. これにはいくつかの利点があります. 最初の利点は, シャドウファイル <tt>/etc/shadow</tt> は誰でも読めなければならない <tt>/etc/passwd</tt> ファイルと異なり, root しか読み出せない点です. 別の利点は, 管理者として, 他のユーザアカウントの状態を誰にも知らせないまま, アカウントを有効または無効にできることです.  シャドウパスワードを使っていても, ユーザやグループ名の格納には <tt>/etc/passwd</tt> ファイルが使われます. このファイルは, <tt>/bin/ls</tt> 等のプログラムがディレクトリ表示の際にユーザ ID を適切なユーザ名に変換するために使います.  <tt>/etc/shadow</tt> ファイルには, ユーザ名とパスワードとアカウントの有効期限などのアカウント情報だけが含まれています.  シャドウパスワードを有効にするためには, root になって <tt>pwconv</tt> コマンドをを実行します. すると <tt>/etc/shadow</tt> ファイルが作られ, アプリケーションに使われるようになります. Red Hat 4.2 以降では, 通常の <tt>/etc/passwd</tt> ファイルからシャドウパスワードへの変更への適合は PAM モジュールが自動的に行います. 他の変更は全く必要ありません.  パスワードの安全を考えていれば, たぶんパスワードも最初から良いものを作ろうと思うでしょう. これを行うために PAM の一部である `pam_cracklib' モジュールが利用できます. これはパスワードに対して Crack ライブラリを適用し, パスワードクラッキングプログラムによって簡単に推測されないかどうか調べることができます.  <item> Apache の SSL 拡張はどうやって有効にするのですか?  回答:  <enum> <item>バージョン 0.8.0 以降の SSLeay を <url url="ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL"> から入手します <item>これをコンパイル, テスト, そしてインストールします <item>Apache 1.2.5 のソースを入手します <url url="ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz" name="ここ"> から Apache SSLeay 拡張を入手します <item>これを Apache 1.2.5 のソースディレクトリで展開し, README に従ってパッチを当てます <item>設定とコンパイルを行います </enum>  <htmlurl url="http://www.zedz.com" name="ZEDZ net"> から各種バイナリパッケージを入手することもできます. これはアメリカ国外にあります.  <item> セキュリティを確保したままで, ユーザアカウントを処理するにはどうすれば良いでしょう?  回答: Red Hat ディストリビューション, 特に Red Hat 5.0 には, ユーザアカウントの状態を変更するツールがたくさん入っています.  <ITEMIZE> <ITEM>シャドウパスワードと非シャドウパスワードを相互変換する <tt>pwconv</tt> と <tt>unpwconv</tt> <ITEM><tt>passwd</tt> ファイルと <tt>group</tt> ファイルの構成が正しいかどうか検査する <tt>pwck</tt> と <tt>grpck</tt> <ITEM>ユーザアカウントの追加, 削除, 変更を行う <tt>useradd</tt>, <tt>usermod</tt>, <tt>userdel</tt>. グループについて同様の作業を行うための <tt>groupadd</tt>, <tt>gropumod</tt>, <tt>groupdel</tt> <ITEM>グループにパスワードを設定する <tt>gpasswd</tt> </ITEMIZE>  これらのプログラムは全て「シャドウ対応」です. つまり, シャドウパスワードが有効であれば, <tt>/etc/shadow</tt> のパスワード情報を参照し, 有効でなければこのファイルは参照しません.  詳しくは, それぞれのコマンドのオンラインマニュアルを参照してください.  <item> Apache で特定の HTML をパスワードで保護するにはどうすればよいでしょうか?  <htmlurl url="http://www.apacheweek.com" name="http://www.apacheweek.org"> のことをご存じないでしょう?  ユーザ認証については, <htmlurl url="http://www.apacheweek.com/features/userauth" name="http://www.apacheweek.com/features/userauth"> に情報がありますし, ウェブサーバに関するその他のヒントも <htmlurl url="http://www.apache.org/docs/misc/security_tips.html" name="http://www.apache.org/docs/misc/security_tips.html"> にあります. </enum>   <SECT> まとめ<label id="conclusion">  セキュリティに関する警告が流れるメーリングリストを購読することと, 最新のソフトウェアを使うことによって, セキュリティを大幅に向上させることができます. ログファイルに注意を払い, <tt>tripwire</tt> のようなプログラムを定期的に実行すればもっと良いでしょう.  家庭のマシンを管理する分には, 十分なレベルのセキュリティも困難ではありません. 仕事に使うマシンではかなり努力が必要でしょうが, Linux はかなり安全なプラットフォームです. Linux の開発の特徴により, セキュリティ関連の修正が商用の OS よりもずっと早いことが多々あり, このため Linux はセキュリティが必要な場合には理想的なプラットフォームになっています.   <SECT> 謝辞  本ドキュメントの情報はいろいろな所から集めたものです. 直接・間接的に貢献してくださった以下の方々に感謝します:  <tscreen> Rob Riggs さん <htmlurl url="mailto:rob@DevilsThumb.com" name="rob@DevilsThumb.com"> S. Coffin さん <htmlurl url="mailto:scoffin@netcom.com" name="scoffin@netcom.com"> Viktor Przebinda さん <htmlurl url="mailto:viktor@CRYSTAL.MATH.ou.edu" name="viktor@CRYSTAL.MATH.ou.edu"> Roelof Osinga さん <htmlurl url="mailto:roelof@eboa.com" name="roelof@eboa.com"> Kyle Hasselbacher さん <htmlurl url="mailto:kyle@carefree.quux.soltec.net" name="kyle@carefree.quux.soltc.net"> David S. Jackson さん <htmlurl url="mailto:dsj@dsj.net" name="dsj@dsj.net"> Todd G. Ruskell さん <htmlurl url="mailto:ruskell@boulder.nist.gov" name="ruskell@boulder.nist.gov"> Rogier Wolff さん <htmlurl url="mailto:R.E.Wolff@BitWizard.nl" name="R.E.Wolff@BitWizard.nl"> Antonomasia さん <htmlurl url="mailto:ant@notatla.demon.co.uk" name="ant@notatla.demon.co.uk"> Nic Bellamy さん <htmlurl url="mailto:sky@wibble.net" name="sky@wibble.net"> Eric Hanchrow さん <htmlurl url="mailto:offby1@blarg.net" name="offby1@blarg.net"> Robert J. Berger さん<htmlurl url="mailto:rberger@ibd.com" name="rberger@ibd.com"> Ulrich Alpers さん <htmlurl url="mailto:lurchi@cdrom.uni-stuttgart.de" name="lurchi@cdrom.uni-stuttgart.de"> David Noha さん <htmlurl url="mailto:dave@c-c-s.com" name="dave@c-c-s.com"> Pavel Epifanov さん <htmlurl url="mailto:epv@ibm.net" name="epv@ibm.net"> Joe Germuska さん <htmlurl url="mailto:joe@germuska.com" name="joe@germuska.com"> Franklin S. Werren さん <htmlurl url="mailto:fswerren@bagpipes.net" name="fswerren@bagpipes.net"> Paul Rusty Russell さん <htmlurl url="mailto:Paul.Russell@rustcorp.com.au" name="<Paul.Russell@rustcorp.com.au>"> Christine Gaunt さん <htmlurl url="mailto:cgaunt@umich.edu" name="<cgaunt@umich.edu>"> lin さん <htmlurl url="mailto:bhewitt@refmntutl01.afsc.noaa.gov" name="bhewitt@refmntutl01.afsc.noaa.gov"> A. Steinmetz さん <htmlurl url="mailto:astmail@yahoo.com" name="astmail@yahoo.com"> 森本淳さん <morimoto@xantia.citroen.org> Xiaotian Sun さん <htmlurl url="mailto:sunx@newton.me.berkeley.edu" name="sunx@newton.me.berkeley.edu"> Eric Hanchrow さん <htmlurl url="mailto:offby1@blarg.net" name="offby1@blarg.net"> 以下の方々はこの HOWTO を色々な言葉に翻訳してくださいました! Linux の言葉を広める手伝いをしてくださる全ての方々に深く感謝します. ポーランド語: Ziemek Borowski さん <htmlurl url="mailto:ziembor@FAQ-bot.ZiemBor.Waw.PL" name="ziembor@FAQ-bot.ZiemBor.Waw.PL"> 日本語: 藤原輝嘉 <htmlurl url="mailto:fjwr@mtj.biglobe.ne.jp" name="fjwr@mtj.biglobe.ne.jp"> インドネシア語: Tedi Heriyanto さん <htmlurl url="mailto:22941219@students.ukdw.ac.id" name="22941219@students.ukdw.ac.id"> 韓国語: Bume Chang さん <htmlurl url="mailto:Boxcar0001@aol.com" name="Boxcar0001@aol.com"> スペイン語: Juan Carlos Fernandez さん <htmlurl url="mailto:piwiman@visionnetware.com" name="piwiman@visionnetware.com"> オランダ語: R. Ekkebus さん <htmlurl url="mailto:reggy@zeelandnet.nl" name="reggy@zeelandnet.nl"> </tscreen> <!-- - - - - - - - - - - - - - - - - - - - - - - - - - -

Linux Security HOWTO <AUTHOR>Kevin Fenzi, <tt>kevin@tummy.com</tt> &ero; Dave Wreski, <tt>dave@linuxsecurity.com</tt> <DATE>v1.1.1, 17 March 2000 <TRANS>The Linux Japanese FAQ Project <TDATE>31 March 2000 <ABSTRACT>  このドキュメントでは, Linux システムの管理者が遭遇するセキュリティ関連事項についての一般的な解説を行います. このドキュメントでは, セキュリティに対する一般的な考え方と, Linux システムを侵入者からより安全にする方法の具体例を扱っています. また, セキュリティ関連の情報やプログラムへのポインタも含まれています.  改善, 建設的な批判, 追加, 訂正は歓迎します. フィードバックを著者両方に送ってください. その際にはサブジェクトに「Security HOWTO」という文字列を入れてください. </ABSTRACT> <TOC>   <SECT> はじめに  このドキュメントでは, Linux のセキュリティに関わる主な話題をいくつか扱います. 一般的な考え方とネット上で生まれたリソースについて議論します.  他の HOWTO ドキュメントの多くとセキュリティの話題で重なる部分がありますが, こういったドキュメントは適当な場所で示します.  このドキュメントは, 最新の問題を扱うものでは「ありません」. 常に新しい被害がたくさん起きています. このドキュメントは最新の情報をどこで見れば良いのかを示し, そのような悪用をされないための一般的な方法を示します.   <SECT1>このドキュメントの最新版について  このドキュメントの最新版は定期的に <it>comp.os.linux.answers</it> に投稿されます. また, 以下に示すような, ドキュメント関連の情報を集めているサイトにも置かれるでしょう: <tt> <htmlurl url="http://www.linuxdoc.org/" name="http://www.linuxdoc.org/"> </tt>  また, Linux のウェブページでも本ドキュメントを見つけることができるでしょう. <tt> <htmlurl url="http://metalab.unc.edu/mdw/linux.html" name="http://metalab.unc.edu/mdw/linux.html"> </tt>  最後に, 本ドキュメントの最新版(各種形式があります)は <tt> <htmlurl url="http://scrye.com/~kevin/lsh/" name="http://scrye.com/~kevin/lsh/"> </tt>  や <htmlurl url="http://www.linuxsecurity.com/docs/Security-HOWTO" name="http://www.linuxsecurity.com/Security-HOWTO">  または <htmlurl url="http://www.tummy.com/security-howto" name="http://www.tummy.com/security-howto"> といったサイトで入手できます. 訳注: 和訳は <htmlurl url="http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html" name="http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html"> にあります.   <SECT1> フィードバック  コメント, 誤りの報告, 追加情報, 批判などは以下のメールアドレスに送ってください: <tt> <htmlurl url="mailto:kevin@tummy.com" name="kevin@tummy.com"> </tt>  および <tt> <htmlurl url="mailto:dave@linuxsecurity.com" name="dave@linuxsecurity.com"> </tt>  注意: フィードバックは両方の著者に送ってください. また, Kevin が使っているスパムフィルタを避けるため, サブジェクトには "Linux", "security", "HOWTO" のいずれかを必ず入れてください. 訳注: 日本語訳に関する誤りの指摘や, フィードバックはしたいけれど英語は苦手だという方は JF プロジェクト(<tt><JF@linux.or.jp></tt>) までご連絡ください.   <SECT1>免責事項 No liability for the contents of this document can be accepted. Use the concepts, examples and other content at your own risk. Additionally, this is an early version, possibly with many inaccuracies or errors. A number of the examples and descriptions use the RedHat(tm) package layout and system setup. Your mileage may vary. As far as we know, only programs that, under certain terms may be used or evaluated for personal purposes will be described. Most of the programs will be available, complete with source, under <url url="http://www.gnu.org/copyleft/gpl.html" name="GNU"> terms. <em/訳注/: 日本語訳も挙げておきますが, これはあくまで参考です. 本ドキュメントの内容についての責任は一切持ちません. あなた自身の責任で概念, 実行例, その他の内容を利用してください. また, 本ドキュメントは書いたばかりのバージョンなので, おそらく不正確な部分や間違いがあると思われます. 例および説明の多くは Red Hat (tm) パッケージに基づいています. 読者の使用しているパッケージによって手順が変わることがあるでしょう. 筆者の知っている限りで, 個人目的で使用あるいは評価ができる使用条件のプログラムについて解説します. ほとんどのプログラムは <url url="http://www.gnu.org/copyleft/gpl.html" name="GNU"> の条項に従い, 完全なソースコード付きで配布されています.   <SECT1>著作権表示 This document is copyrighted (c)1998-2000 Kevin Fenzi and Dave Wreski, and distributed under the following terms: <ITEMIZE> <ITEM> Linux HOWTO documents may be reproduced and distributed in whole or in part, in any medium, physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the authors would like to be notified of any such distributions. <ITEM> All translations, derivative works, or aggregate works incorporating any Linux HOWTO documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator at the address given below. <ITEM> If you have questions, please contact Tim Bynum, the Linux HOWTO coordinator, at </ITEMIZE> <tt> <htmlurl url="mailto:tjbynum@metalab.unc.edu" name="tjbynum@metalab.unc.edu"> </tt> <em/訳注/: 日本語訳も挙げておきますが, これはあくまで参考です. Copyright (c)1998-2000 Kevin Fenzi and Dave Wreski このドキュメントは Kevin Fenzi と Dave Wreski の著作物であり, 以下の条項に基づいて配布されています: <itemize> <ITEM> Linux HOWTO ドキュメントは, この著作権表示が全ての複製物に残されている限り, 全体あるいは一部分を複製・配布すること, 任意の物理メディアや電子メディアで複製・配布することができます. 商業的な再配布は奨励されていますが, このような配布を行う場合には著者らに連絡することを希望します. <ITEM>翻訳, 派生物, Linux HOWTO ドキュメントのいずれかを集めた収集物全てはこの著作権表示に従わなければなりません. つまり, HOWTO ドキュメントから派生したドキュメントを作り, これに制限を追加することはできません. 特定の条件の下では, これらの規則には例外が認められます. 以下にアドレスを示す Linux HOWTO の世話人と相談してください. <ITEM>疑問点があれば, Linux HOWTO の世話人である Tim Bynum までご連絡ください. アドレスは以下に示します. </ITEMIZE> <tt> <htmlurl url="mailto:tjbynum@metalab.unc.edu" name="tjbynum@metalab.unc.edu"> </tt>  <SECT1> 日本語訳について 日本語訳は Linux Japanese FAQ Project が行いました (藤原輝嘉 <fujiwara@linux.or.jp> (日本語訳), 長谷川靖 <yaz-hase@qb3.so-net.ne.jp> (校正), 関戸幸一 <sekido@mbox.kyoto-inet.or.jp> (校正, 訳注), 菱川功 <ike@whitedragon.org> (校正, 訳注), 高城正平 <takavoid@palette.plala.or.jp> (校正) 森本淳 <morimoto@xantia.citroen.org> (v1.1.1 追従) ). 日本語訳に関する権利は原文に準ずるものとします.  <SECT> 概要   本ドキュメントでは, Linux システムをより安全にするための方法と, よく使われるソフトウェアについて解説します. 具体的な内容に入る前に, 基本的な概念について議論し, セキュリティの基礎を押えておくことにしましょう.  <SECT1> なぜセキュリティが必要なのか   常に変化し続ける, グローバルなデータ通信, 安価なインターネット接続, 速いペースのソフトウェア開発の世界の中で, セキュリティはより重要になりつつあります. グローバルコンピューティングは本質的に危険なので, セキュリティは今や基本的な要件です. 例えばデータが A 地点から B 地点までインターネット上で送られる場合を考えると, データは経路の途中で他の地点を通るので, 他人がデータを傍受や改竄さえしてしまう可能性があります. 同じシステム上のユーザでさえ, あなたのデータを悪意を持って意図しないようなものに変えてしまうかもしれません. 「クラッカー」として知られる侵入者に, システムのアクセス権を不正に得られてしまうかもしれません. クラッカーはあなたになりすますために高度な知識を用い, あなたからデータを盗んだり, あなたが自分自身のデータにアクセスできないようにしてしまいます. あなたが「ハッカー」と「クラッカー」の違いが分かっていないようであれば, Eric Raymond 氏の書かれた「ハッカーになる方法(How to Become A Hacker)」をご覧ください. (<htmlurl url="http://www.netaxs.com/~esr/faqs/hacker-howto.html" name="http://www.netaxs.com/~esr/faqs/hacker-howto.html"> で入手できます) 訳注: 「ハッカーになる方法 (How to Become A Hacker)」の日本語訳は <htmlurl url="http://www.linux.or.jp/JF/JFdocs/hacker.txt" name="http://www.linux.or.jp/JF/JFdocs/hacker.txt"> または <htmlurl url="http://www.post1.com/home/hiyori13/freeware/hacker.html" name="http://www.post1.com/home/hiyori13/freeware/hacker.html"> で入手できます.  <SECT1> どの程度安全なら安全なのか?   最初に, 完全に安全なコンピュータシステムは存在しないことを覚えておいてください. できるのは, 何者かがシステムを悪用するのをより困難にすることだけです. 普通の Linux のホームユーザならば, 偶然やってくるクラッカーを防ぐのはそれほど大変ではありません. とはいえ, Linux を重要な仕事に使っている場合(銀行, 通信業者など)には, ずっと多くの作業が必要になるでしょう.  考慮に入れるべき別の要素として, セキュリティを高めれば高めるほど, セキュリティが邪魔になることが挙げられます. そこで, 目的に対して十分使いやすくかつ安全なシステムとなるようバランスをとってやらなければなりません. 例えば, あなたのシステムに電話回線で接続してくるユーザ全てにコールバックモデムを使ってもらい, 彼らの家にコールバックするようにすることができます. これにより安全な運用をおこなえますが, ユーザが家にいないようなケースではログインが困難になってしまいます. Linux システムをネットワークやインターネットに繋がない設定も可能ですが, これでは便利さも損なわれてしまいます.  中～大規模のサイトならば, サイトがどの程度のセキュリティを必要としていて, これをチェックするためどんな監査を行うのかというセキュリティポリシーを決めるべきです. 有名なセキュリティポリシーの例は <htmlurl url="http://core.ring.gr.jp/pub/doc/rfc/rfc2196.txt" name="http://core.ring.gr.jp/pub/doc/rfc/rfc2196.txt">です. これは最近改定されており, 会社のセキュリティポリシーを作る際の良い枠組になります. 訳注: 日本語訳が <htmlurl url="http://www.ipa.go.jp/SECURITY/rfc/RFC2196-00JA.html" name="http://www.ipa.go.jp/SECURITY/rfc/RFC2196-00JA.html"> にあります.  <SECT1> 何を守るのか?   システムを安全にしようとする前に, まず, どの程度のレベルの脅威から自身を守るのか, どの程度のリスクを冒すべきなのか (あるいは冒すべきでないのか), 結果的にシステムはどの程度脆弱なままにするのかを決めなくてはなりません. 何を守るのか, なぜそれを守るのか, それにどんな価値があるのか, データや他の財産に対しての責任は誰が負うのかを知るために, システムを解析すべきです. <ITEMIZE><ITEM>  リスクとは, 侵入者がシステムへのアクセスに成功する可能性です. 侵入者はファイルの読み書きをしたり, 害をなすプログラムを実行できるでしょうか? 重要なデータを消すことができるでしょうか? 重要な仕事の妨害ができるでしょうか? 忘れてはならないのは, 誰かがあなたのアカウントやシステムへのアクセス権を手に入れてしまえば, その人はあなたになりきることができてしまうということです.  加えて, 安全でないアカウントがシステム上にひとつあれば, 結果的にネットワーク全体が悪用される可能性があります. <tt>.rhost</tt> ファイルを使ったログインを許可しているユーザがいたり, <tt>tftp</tt> のような安全でないサービスを使っている場合, 侵入者がこれらを利用して「ドアの中に足を踏み入れる」危険を背負うことになります. いったん侵入者があなたや他の誰かのシステムのアカウントを手に入れれば, それは他のシステムや他のアカウントにアクセスするために利用されるかもしれません. <ITEM>  脅威は概して, 誰かがネットワークやコンピュータに許可なしにアクセスしようとすることから生じます. 誰を信用してあなたのシステムにアクセスさせるのか, そしてその人がどのような脅威をもたらすのかを考えておかなければなりません.  侵入者にはいくつかのタイプがあります. その特徴を知っておくと, システムを安全にするのに役立つでしょう. <ITEMIZE>  <ITEM><bf>好奇心</bf> - このタイプの侵入者は基本的に, あなたがどんなシステムやデータを持っているのかを知ることに興味を持っています. </item>  <ITEM><bf>悪意</bf> - このタイプの侵入者は, あなたのシステムをダウンさせたり, ウェブページに落書きをするなど, 復旧に金や時間がかかることをしようとします. </ITEM>  <ITEM><bf>名声</bf> - このタイプの侵入者は, 名声や悪名を得るためにシステムに侵入しようとします. 自分の能力を宣伝するために, 名の通ったシステムに侵入しようとします. </item>  <ITEM><bf>競争相手</bf> - このタイプの侵入者は, あなたがシステム上にどんなデータを置いているのかに興味を持っています. この侵入者は, あなたが金銭的あるいはそれ以外の方法で利益をもたらす何かを持っていると思っているのでしょう. </item>  <ITEM><bf>借用</bf> - このタイプの侵入者はあなたのシステムに作業場を作り, その資源を自分のために使うことに興味を持っています. 彼らは普通はチャットや IRC サーバ, ポルノアーカイブのサーバ, 果てには DNS サーバまで実行します.  <ITEM><bf>踏台</bf> - このタイプの侵入者は, あなたのシステムを使って他のシステムに侵入することしか考えていません. あなたのシステムの接続状態が良かったり, 多数の内部システムに継っているゲートウェイならば, このタイプの侵入者によく狙われるかもしれません. </ITEMIZE><ITEM>  システムの脆弱さは, あなたのコンピュータが他のネットワークからどの程度守られているかということや, 誰かが不正なアクセスをする潜在的な可能性を示します.  何者かがシステムに侵入した場合, 何が問題となるのでしょうか? 当然ながら, 家庭から PPP でダイアルアップ接続しているユーザの問題と, 会社のマシンをインターネットや他の大規模ネットワークに繋いでいる人々の問題は異なります.  失ったデータを復旧あるいは再び作成するのにどれくらいの時間が必要でしょうか? ちゃんと初期投資をしておけば, 後で失ったデータを再作成するはめになったときにかかる時間は 10 分の 1 に節約できます. バックアップの計画をチェックし, あとでデータの検証をしていますか? </ITEMIZE>  <SECT1> セキュリティポリシーの作成   ユーザが容易に理解して守ることができる, 簡単で一般的な方針を決めましょう. この方針は大切なデータやユーザのプライバシーを守ってくれるでしょう. これに加えて考えるべきことは, 誰がシステムにアクセスできるのか (自分の友人に自分のアカウントを使わせていいのでしょうか?), 誰がシステムにソフトウェアをインストールすることができるのか, 誰がどのデータを所有するのか, それから事故時の復旧やシステムの適切な使いかたについてです.  一般に受け入れられているセキュリティポリシーは次の言葉から始まります.  <quote><bf> "許されていないことは禁止されている"</bf> </quote>  これは, あるサービスをユーザに対して認めていない場合, 許可を出すまではユーザはそのサービスを使うべきではないということです. 正規ユーザアカウントに適用するポリシーを確認しましょう. 「えっと, パーミッションの問題がわからないので, root で実行しよう」などと言うことは, 明らかなセキュリティホールになりますし, 今まで不正使用されたことのないセキュリティホールにさえなるかもしれません.  <htmlurl url="ftp://core.ring.gr.jp/pub/doc/RFC/rfc1244.txt" name="rfc1244"> は独自のネットワークセキュリティポリシーを作るための指針が書かれたドキュメントです.  <htmlurl url="ftp://core.ring.gr.jp/pub/doc/RFC/rfc1281.txt" name="rfc1281"> はセキュリティポリシーの例を示したドキュメントであり, 各ステップの詳細な説明が付いています.  最後に, <htmlurl url="ftp://coast.cs.purdue.edu/pub/doc/policy" name="ftp://coast.cs.purdue.edu/pub/doc/policy"> にある COAST ポリシーアーカイブを調べ, 実生活でのセキュリティポリシーがどのようなものかを見ると良いでしょう.  <SECT1> 自分のサイトを安全にすることの意義   本ドキュメントでは, あなたが作ってきた貴重な財産 (ローカルマシン, データ, ユーザ, ネットワーク, あなたの評判) を守るための方法を議論します. 侵入者があなたのユーザのデータを消してしまったら, あなたの評判はどうなるでしょう? あなたのウェブページに落書きをされてしまったらどうなるでしょう? また, あなたの会社の次の四半期の計画をばらされてしまったら? ネットワークのインストールを考えているならば, 1 台のマシンをネットワークにつなぐ前に, 考慮すべき要素はたくさんあります.  あなたがダイアルアップ PPP アカウントを使っていたり, ごく小規模なサイトを運営している場合であっても, 侵入者があなたのシステムに興味を持たないとは限りません. 標的にされるのは, 大規模で有名なサイトだけではありません. 多くの侵入者は規模に関係なくできるだけ多くのサイトを不正使用しようとします. 加えて, 侵入者はあなたが接続する先のサイトにアクセスするため, あなたのサイトのセキュリティホールを突くかもしれません.  侵入者は時間を持て余しており, あなたがどんなにシステムを隠蔽しても, 推測するのではなく, 単に全ての可能性を試してしまいます. 侵入者があなたのシステムに興味を持つ理由は他にもたくさんありますが, それについては後で議論します.  <SECT2> ホストのセキュリティ   管理者が最も集中するセキュリティの分野は, おそらく個々のホストに基づく部分でしょう. これは基本的に, 自分自身のシステムの安全を確保し, 自分のネットワーク上の他のホストも同様であろうと期待することです. 良いパスワードを選び, LAN へのサービスを安全に行い, きちんとログを取り, セキュリティに問題があることが知られているプログラムのバージョンアップを行うのは, ローカルのネットワーク管理者が責任を持って行うべきことです. これは絶対に必要なことなのですが, ネットワークの規模が数台規模より大きくなると実施が大変になってしまいます.  <SECT2> ローカル・ネットワークのセキュリティ   ネットワークのセキュリティは, 手元にあるホストのセキュリティと同じく必要なことです. 何百, 何千, あるいはそれ以上のコンピュータが同じネットワークにある場合, そのそれぞれが安全であると信頼することはできません. 許可されたユーザしか自分のネットワーク資源にアクセスできないようにし, 防火壁を構築し, 強力な暗号を使用し, 「たちの悪い」マシンや安全でないマシンがネットワーク上に無いようにすることは, 全てネットワーク管理者の任務です.  本ドキュメントではサイトを安全にするために使われる技術のいくつかについて議論し, 守るべきものを侵入者にアクセスさせないようにする方法をいくつか示します.  <SECT2> 隠蔽によるセキュリティ   議論すべきセキュリティのタイプの 1 つは「隠蔽によるセキュリティ」です. これは例えば, セキュリティ的な弱点が知られているサービスを標準でないポートに移動させ, 攻撃者に存在がばれないようにして悪用を避けようとするものです. このようなものは心配しなくても攻撃者が見つけて悪用してくれます. 隠蔽によるセキュリティは, セキュリティ的には全く無意味です. 単に小規模なサイトや比較的無名なサイトであるからといって, 侵入者があなたの持っているものに興味を持たないわけではありません. 次の章で, あなたが守るものについて議論します.  <SECT1> 本ドキュメントの構成   本ドキュメントはいくつもの章に分かれています. 各章でセキュリティのおおまかな話題を押さえます. 最初の話題は <ref id="physical-security" name="物理的なセキュリティ">で, マシンそのものを物理的にいじられないようにするための方法です. 第 2 の話題は <ref id="local-security" name="ローカルのセキュリティ">で, ローカルユーザがシステムを改竄するのを防ぐ方法です. 3 番目の話題は <ref id="file-security" name="ファイルとファイルシステムのセキュリティ"> で, ファイルシステムとファイルのパーミッションの設定の方法を示します. 次の話題は <ref id="password-security" name="パスワードのセキュリティと暗号化">で, マシンやネットワークをより安全にするための暗号の使い方を議論します. <ref id="kernel-security" name="カーネルのセキュリティ">では, マシンをより安全にするために設定あるいは意識すべきカーネルオプションについて議論します. <ref id="network-security" name="ネットワークのセキュリティ">では, Linux システムを外部ネットワークからの攻撃に対してより安全にする方法を解説します. <ref id="secure-prep" name="セキュリティの準備">では, マシンをネットワークに繋ぐ前の準備のやりかたについて議論します. 次の<ref id="after-breakin" name="システムに侵入された/されている場合の対応"> では, システムに侵入されつつあることや侵入が最近に起こったことに気づいた場合にすべきことを議論します. <ref id="sources" name="セキュリティに関する情報源">では, セキュリティに関する基本的な情報源をいくつか示し, Q & A の章である<ref id="q-and-a" name="よく聞かれる質問"> ではよく聞かれる質問いくつかに対する回答を示します. 最後に <ref id="conclusion" name="最後に"> にて結びの言葉を述べます.  本ドキュメントを読んで理解していただきたいポイントは主に 2 つあります. <ITEMIZE> <ITEM>  システムに注意を払いましょう. <tt>/var/log/messages</tt> 等のシステムログをチェックし, システムを見張りましょう. <ITEM>  最新バージョンのソフトウェアをインストールし, セキュリティの警告が出されればソフトウェアをアップグレードして, システムを常に最新の状態にしましょう. 単純にこうするだけで, システムは劇的に安全になります. </ITEMIZE>   <SECT> 物理的なセキュリティ<label id="physical-security">  最初に考慮すべきセキュリティの層は, コンピュータシステムの物理的なセキュリティです. 誰がマシンへ直接触ることができるのか? 触ることができるべきなのか? また, 彼らがマシンをいじれないよう守れるのか? あるいは守るべきなのか?  物理的なセキュリティがどの程度必要になるかは, 大抵の場合, 状況や予算によって決まります.  もしあなたがマシンを自分の家で使っているのならば, たぶん注意すべきことはあまりないでしょう (子供やうるさい親戚からマシンを守る必要はあるかもしれませんが). 研究室ならば, かなり注意しなければならないでしょうが, ユーザはそのマシンで仕事をできる必要があります. そのためには以下の各章が参考になるでしょう. あなたがオフィスにいるならば, 終業後やあなたが席を離れているときにマシンを安全にしておく必要があるかもしれませんし, その必要は無いかもしれません. 会社によっては, コンソールを放置することはクビにされる程の規則違反です.  ドアの施錠やケーブル, 鍵付きのキャビネット, ビデオ監視装置等のわかりやすい物理的な防御方法は全て良い考えなのですが, このドキュメントの守備範囲ではありません :-)   <SECT1>コンピュータへの施錠  最近の PC ケースの多くには「鍵」が付いています. 普通はケースの前面に鍵穴があり, 鍵を施錠か解除の位置にセットできるようになっています. ケースの鍵によって, 何者かが PC を盗んだり, ケースを開けて直接ハードウェアをいじったり盗んだりすることを防ぐことができます. ケースによっては, 他の誰かのフロッピーディスクや他の機器によるマシンの再起動を防ぐことができます.  マザーボードのサポートやケースの作りによっては, ケースの鍵で色々なことができます. 多くの PC ではケースを開けるためにはこれを壊さなくてはなりません. また, 新しいキーボードやマウスを挿せないものもあります. 詳しくはマザーボードやケースの説明書を読んでください. 通常, 鍵の質はとても低く, 攻撃者は偽造によって簡単に破ることができるのですが, それでも鍵はとても便利な機能になり得ます.  マシンによっては(特に Sun SPARC や Macintosh), 背面にドングル(dongle) が付いていて, これを通してケーブルを繋げば, ケーブルを切るかケースを壊さなければ攻撃者はケーブルを繋ぐことができません. これらに単に南京錠や連結錠を付けることで, マシンを盗もうとしている人への大きな抑止効果が得られます.   <SECT1>BIOS のセキュリティ  BIOS はもっともハードウェアに近いレベルのソフトウェアで, x86 ベースのハードウェアの設定及び操作を行います. LILO 等のブートローダは, BIOS にアクセスして Linux マシンをどうやってブートさせるか指示します. Linux の他のプラットフォームでも同様のソフトウェアがあります (Mac や新しい Sun の OpenFirmware, Sun の boot PROM 等). BIOS の設定で, 攻撃者がマシンを再起動して Linux システムを操作するのを防ぐことができます.  多くの PC BIOS では起動パスワードの設定をすることができます. これはそんなに安全ではありません (BIOS はリセットすることができますし, ケースを開けられるなら取り外すこともできるでしょう) が, 抑止効果は大きいでしょう (時間かせぎにもなりますし, システムをいじった痕跡も残るからです). 同様に S/Linux (SPARC(tm)プロセッサのマシン用の Linux)では, EEPROM を設定して起動パスワードをかけることができます. これで侵入者を足止めできるかもしれません.  多くの x86 マシンの BIOS では, この他にも役立つセキュリティ設定を色々指定できます. BIOS のマニュアルを調べるか, 次回のマシン起動時にチェックしてみましょう. 例えば, フロッピーディスクでの起動を禁止できる BIOS もありますし, 一部の設定にパスワードをかけることができる BIOS もあります.  注意: サーバマシンを管理していて, 起動パスワードを設定している場合, 人がいないとマシンは起動しません. 停電などの時は, マシンの所に行ってパスワードを打ち込んでやる必要があることを覚えておきましょう. ;-(   <SECT1>ブートローダのセキュリティ  色々なブートローダにも起動パスワードを設定することができます. 例えば LILO を使っている場合には, <tt>password</tt> と <tt>restricted</tt> の設定を調べてみましょう. <tt>password</tt> は起動時にパスワードを要求するようにします. <tt>restricted</tt> の場合は, <tt>LILO </tt> プロンプトに対してオプション (<tt>single</tt>等) を指定した場合だけ起動パスワードを要求するようになります.  lilo.conf のオンラインマニュアルより: <tscreen><verb> password=password 起動イメージごとのオプション `password=...' (下記参照) をすべてのイメージに適用します. restricted 起動イメージごとのオプション `restricted' (下記参照) をすべてのイメージに適用します. password=password イメージをパスワードで保護します. restricted 起動イメージにコマンドラインでパラメータを指定したとき (例: single) だけパスワードを要求します. </verb></tscreen>  パスワードを設定したら, これを忘れてはならないことに注意してください. :-) また, 気合いの入った攻撃者に対しては, このようなパスワードは単なる足止め程度にしかならないことも忘れてはいけません. この方法では誰かがフロッピーディスクから起動してルートパーティションをマウントすることを防ぐことはできません. ブートローダと組み合わせたセキュリティ手法を使う場合には, コンピュータの BIOS でフロッピーディスクからの起動を無効にすることができますし, BIOS をパスワード保護することもできます.  LILO 以外のブートローダ(<tt>grub</tt>, <tt>silo</tt>, <tt>milo</tt>, <tt>linload</tt> 等)のセキュリティ関連情報をご存知ならば, ぜひお知らせください.  注意: サーバマシンにパスワードを設定した場合, 人がいないとマシンは起動しなくなります. 停電などの場合でも, マシンのところに行ってパスワードを打ち込まなければならないことは覚えておきましょう. ;-(   <SECT1>xlock と vlock  頻繁にマシンから離れて出歩くならば, コンソールに「鍵」を掛け, 誰もマシンをいじったり, 作業の様子を覗けないようにしておくと良いでしょう. このようなプログラムとして, <tt>xlock</tt> と <tt>vlock</tt> の 2 つを紹介します.  <tt>xlock</tt> は X のディスプレイをロックします. X をサポートしている Linux ディストリビューションならば, 普通 xlock はインストールされているでしょう. オプションについてはオンラインマニュアルを参照してほしいのですが, 大まかに説明すると, ロックしたいコンソール上の xterm から <tt>xlock</tt> を起動すると, ディスプレイがロックされ, パスワードを入力しないと解除できなくなります.  <tt>vlock</tt> は Linux の仮想コンソールの一部あるいは全てをロックするための簡単なプログラムです. 現在作業中のコンソールを 1 つだけロックすることもできますし, 全てをロックすることもできます. 仮想コンソールを 1 つロックしている場合, 他の人はコンソールを使うことができます. ですが, ロックされている仮想端末はロックが解除されるまでは使うことができません. <tt>vlock</tt> は Red Hat Linux には入っていますが, 入っていないディストリビューションもあるかもしれません.  当然ながら, コンソールをロックすれば何者かにあなたの作業をいじられるのを防ぐことはできますが, マシンを再起動されたりしてやりかけの作業が壊されることは防げません. また, ネットワーク上の他のマシンからコンソールをロックしたマシンにアクセスして問題を起こすことを防ぐこともできません.  さらに重要な点としては, 誰かが X ウィンドウシステムから完全に抜けて通常の仮想コンソールのログインプロンプトに行くことや, X11 を起動した仮想コンソールに行き X をサスペンドさせ, ユーザの権限を奪ってしまうことを防げない点が挙げられます. ですから, 完全に xdm の制御下において使うことだけを考えるのがよいでしょう.   <SECT1>物理的な攻撃を受けたことの発見  まずは, マシンをいつ再起動したのか必ず記録するようにしましょう. Linux は頑健で安定な OS ですから, あなたがマシンを再起動するのは OS のアップグレードやハードウェアの交換等の時だけでしょう. あなたが知らないうちにマシンが再起動されていたら, これは侵入者に悪用されたことの印かもしれません. 侵入者がマシンに物理的な攻撃をする手段の多くは, マシンを再起動したり, 電源を切ったりしなければならないからです.  ケースやコンピュータ周辺をいじられた兆候が無いかどうかチェックしましょう. 侵入者は普通ログから痕跡を消しますが, これらを全てチェックし, 矛盾が無いか調べるのも良いでしょう.  ログのデータを安全な場所 (きちんと守られたネットワーク内部の専用のログサーバ等) に置くのも良い考えです. あるマシンが悪用された場合には, ログデータはほとんど役に立たなくなるからです. というのも, 侵入者は大抵ログも書き換えてしまうからです.  syslog デーモンを設定して, ログを自動的に中央のログサーバに送るようにすることもできますが, これは通常は暗号化されずに送られます. したがって, 侵入者は転送されているデータを見ることができます. これにより, 公にするつもりのないネットワーク関係の情報が洩れてしまうかもしれません. データを送る際に暗号化することができる syslog デーモンもあります.  syslog のメッセージの偽造は容易である点にも注意してください. これを悪用するためのプログラムも出回っています. syslog はローカルホストから出されたと言っているネットワーク経由のログエントリであっても, 本当の送信元を示すことなく受け付けてしまいます.  ログを調べる際には以下の点に注意します.  <ITEMIZE> <ITEM>ログが短かったり, 不完全ではないか <ITEM>ログに記録されている時間はおかしくないか <ITEM>ログのパーミッションや所有者はおかしくないか <ITEM>システムそのものや, サービスの再起動は記録されていないか <ITEM>無くなっているログはないか <ITEM>おかしな場所から <tt>su</tt> やログインが行われていないか </ITEMIZE>  システムログデータについては, この HOWTO 内の <ref id="logs" name="後の章">で説明します.   <SECT> ローカルのセキュリティ<label id="local-security">  次にローカルユーザの攻撃に対するシステムのセキュリティについて考えます. そうです, ローカルのユーザに対してです.  ローカルユーザのアカウントの獲得は, 攻撃者が root のアカウントを破ろうとする際に最初に考えることの一つです. ローカルに対するセキュリティが甘ければ, 様々なバグやローカル向けのサービスのまずい設定を利用して, 一般ユーザの権限から root ユーザの権限へ「アップグレード」することができるのです. ローカルに対するセキュリティが強固であれば, 侵入者が越えなければならないハードルはまだ残ることになります.  ローカルユーザは, たとえ身元を詐称していなくてもシステムに被害を与えることができます. 知らない人, 連絡先のわからない人にアカウントを与えるのは, 非常に危険なことです.   <SECT1>新規アカウントの作成  アカウントを発行する際は, そのユーザが行う必要のある作業に対し, 必要最小限のアカウントを与えていることに留意すべきです. 息子 (10 才) にアカウントを与えるのならば, ワープロやお絵描きプログラムにはアクセスできるけれど, 自分のものでないファイルを削除できないユーザにすべきでしょう.  他人に Linux マシンに対して合理的にアクセスをしてもらうための, 便利な経験則があります.  <ITEMIZE> <ITEM> 必要最小限の権限しか与えないようにします <ITEM> いつ, どこからログインしたか, あるいはどこからログインすべきかに注意を払います <ITEM> 使われていないアカウントは削除したかどうか確認します <ITEM> 全てのコンピュータとネットワークで同じユーザ ID を使うとよいでしょう. これにより, アカウントの管理, ログデータの解析が容易になります. <ITEM> グループユーザ ID の作成は絶対に禁止すべきです. ユーザアカウントでは責任の所在が明らかですが, グループアカウントではそうではないからです. </ITEMIZE>  セキュリティを破るときに使われるローカルユーザのアカウントの多くは, 何ヵ月あるいは何年も使われていないものです. 誰も使っていないために, 理想的な攻撃の道具になってしまうのです.   <SECT1> root のセキュリティ<label id="root-security">  あなたのマシンで最も欲しがられるアカウントは, root (ユーパーユーザ) のアカウントです. このアカウントはマシン全体に対する権限を持ち, ネットワーク上の他のマシンに対する権限を持つこともあります. root のアカウントはできるだけ短時間の, 特定の作業だけで使用し, それ以外の時は一般ユーザとしてマシンを使用すべきです. root ユーザでログインしているとちょっとしたミスでも問題を起こしかねません. root 権限を持っている時間は短ければ短いほど安全です.  root 権限でマシンを壊してしまわないための仕掛けもいくつかあります. <ITEMIZE> <ITEM>  複雑なコマンドを実行するとき, 特に globbing を使う(* や ? などのワイルドカードを使用する)場合は, 失敗しても悲惨な結果にならない方法を最初にとりましょう. 例えば <tt>rm foo*.bak</tt> を実行したい場合は, まず <tt>"ls foo*.bak"</tt> を実行し, 考えているファイルだけが消されるようになっているか確認するのです. 危険なコマンドの代わりに <tt>echo</tt> が使えることもあります. <ITEM>  ユーザに対して <tt>rm</tt> コマンドのエイリアスを設定しておき, ファイルの削除の際に確認を行うようにします. <ITEM>  特定の作業 1 つを行うためだけに root になりましょう. 自分が, どうやって作業しようか考えているような状態だとしたら, root でやらなければならないことがはっきりするまでは, 一般ユーザに戻りましょう. <ITEM>  root ユーザのコマンドパスはとても重要です. コマンドパス (つまり PATH 環境変数) はシェルがプログラムを探すディレクトリを指定します. root ユーザ用のコマンドパスはできる限り制限すべきですし, 絶対に '.' (これは「カレントディレクトリ」を意味します) を PATH の指定に入れてはいけません. さらに, 書き込み可能なディレクトリを検索パスに入れてはいけません. というのも, そうなっていると攻撃者が検索パス上のファイルを書き換えたり置き換えたりでき, あなたがそのコマンドを次に使ったときに root 権限で動作させることができるからです. <ITEM>  root で rlogin/rsh/rexec コマンド群 (いわゆる r-ユーティリティ) を使ってはいけません. これらのコマンドは色々な攻撃の対象となるので, root のときに実行するのは実に危険です. root ユーザ用の <tt>.rhosts</tt> ファイルは決して作ってはいけません. <ITEM>  <tt>/etc/securetty</tt> には root がログインできる端末のリストが書かれています. (Red Hat Linux の)デフォルトでは, これにはローカルの仮想端末 (vty) だけが設定されています. このファイルにそれ以外の端末を追加するときには, 細心の注意を払ってください. 必要がある時でも一般ユーザとして (できれば <tt><ref id="ssh" name="ssh"></tt> 等の暗号化チャネル経由で) リモートログインし, それから <tt>su</tt> することができるはずなので, 直接 root としてログインできる必要はありません. <item>  root での作業は, 必ずゆっくり, 慎重に行いましょう. 作業の結果は大きな影響をもたらすかもしれません. コマンドを打ち込む前に, まず考えましょう! </ITEMIZE>  どうしても誰か (できれば非常に信頼している人) に root 権限を与える必要がある場合にも, これを補助するツールがあります. <tt>sudo</tt> を使えば, ユーザのパスワードを使って, 制限されたコマンド群を root の権限で使用させることができます. これにより, 例えば Linux マシンのリムーバブルメディアをユーザにイジェクトやマウントをさせるけれど, それ以外の root 権限は与えないようにすることができます. <tt>sudo</tt> は成功・失敗を含めて全ての <tt>sudo</tt> の試みをログに取ることができるので, 誰が何のためにどのコマンドを使ったか調査することができます. このため, <tt>sudo</tt> は多くのユーザが root 権限を持つような環境でもうまく利用することができます. なぜなら, システムに対して行われた変更を調べやすくしてくれるからです.  <tt>sudo</tt> を使って特定のユーザに特定目的のための特定の権限を与えることができますが, sudo には欠点がいくつかあります. sudo は, サーバの再起動やユーザの新規追加など, 限られた作業の組に対してだけ使うべきです. シェルエスケープができる任意のプログラムは, これを <tt>sudo</tt> を通して使ったユーザに root 権限を与えてしまいます. 例えば, 大部分のエディタがこれに該当します. また, /bin/cat のように無害なプログラムであってもファイルの上書きに使うことができるので, これを使って root 権限が破られることもあり得ます. <tt>sudo</tt> は権限を使わせるための手段と考えるべきであり, root ユーザをより安全にするために置き換えるものと期待してはいけません.   <SECT> ファイルとファイルシステムのセキュリティ<label id="file-security">  システムをネットワークに繋ぐ前に少し準備と計画を行うだけで, システムとその中のデータを守るのに役立つでしょう. <ITEMIZE> <ITEM>  ユーザのホームディレクトリに SUID/SGID したプログラムを置いて実行させる理由は全くありません. root 以外のユーザが書き込み可能なパーティションに対しては <tt>/etc/fstab</tt> で <tt>nosuid</tt> オプションを使いましょう. また, ユーザのホームパーティションや <tt>/var</tt> では <tt>nodev</tt> や <tt>noexec</tt> を使おうと考えるかもしれません. これらのオプションはプログラムの実行や, キャラクタデバイス・ブロックデバイスの作成を禁止します. これらはいずれにせよ必要無いはずです. <ITEM>  NFS を用いてファイルシステムをエクスポートしている場合は必ず, アクセスをできる限り厳しく設定してください. つまり <tt>/etc/exports</tt> でできる限り厳しいアクセス制限を行ってください. これはワイルドカードを使わないこと, root での書き込みアクセスを許可しないこと, できる限り読み取り専用でエクスポートするということです. <ITEM>  ファイル作成の <tt>umask</tt> をできる限り厳しく設定してください. <ref id="umask" name="umask の設定"> をご覧ください. <ITEM>  NFS 等のネットワークファイルシステムを用いてファイルシステムをマウントしているならば, 必ず /etc/exports で適切な制限を付けた設定にしてください. 普通は `nodev', `nosuid', それから多分 `noexec' が望ましいでしょう. <ITEM>  デフォルトの <tt>unlimited</tt> を認めるのではなく, ファイルシステムに制限値を設定しましょう. リソース制限を行う PAM モジュールと <tt>/etc/pam.d/limits.conf</tt> を使って, ユーザ別に制御することができます. 例えば, グループ <tt>users</tt> の制限は以下のようになります: <tscreen><verb> @users hard core 0 @users hard nproc 50 @users hard rss 5000</verb></tscreen>  この設定は, コアファイルの作成を禁止し, プロセスの数を 50 に制限し, メモリの使用量をユーザ 1 人あたり 5MB に制限するものです. <ITEM>  <tt>/var/log/wtmp</tt>, <tt>/var/run/utmp</tt> ファイルには, システムの全てのユーザのログイン記録が記録されています. このファイルは絶対いじられないようにしなくてはなりません. というのも, このファイルを使ってユーザ (あるいは侵入者である可能性がある人) がいつ, どこからシステムに入ったのかを知ることができるからです. このファイルのパーミッションは 644 にすべきです. この設定は通常のシステム操作に影響を与えません. <ITEM>  immutable ビットを使うと, 守らなくてはならないファイルを事故で消したり上書きすることを防ぐことができます. このビットを使って, 誰かがこのファイルに対するシンボリックリンクを作成するのを防ぐこともできます (こういったシンボリックリンクは今まで <tt>/etc/passwd</tt> や <tt>/etc/shadow</tt> の削除を含む攻撃の手段となってきました). immutable ビットの情報については, オンラインマニュアルの <tt>chattr(1)</tt> を参照してください. <ITEM>  SUID, SGID されたファイルがシステムにあるとセキュリティにとっては潜在的に危険なので, これらのファイルはきちんと監視していなければなりません. このようなプログラムは実行したユーザに特別な権限を与えるので, 安全でないプログラムが絶対にインストールされないようにする必要があります. クラッカーが好んで使うトリックとして, root に SUID されたプログラムをいじり, 元のセキュリティホールが塞がれても次回に使える裏口として, SUID されたプログラムを残しておく方法があります.  システム上の SUID/SGID されたプログラムを全て見つけ, それらがどうなっているかを監視します. 侵入者の可能性を示すこれらのファイルの変化に注意してください. システム上の SUID/SGID されたプログラムを全て見つけるには以下のコマンドを使います: <tscreen><verb> root# find / -type f \( -perm -04000 -o -perm -02000 \) </verb></tscreen>  Debian ディストリビューションは, SUID されたファイルが存在するかどうかを調べるジョブを毎晩実行します. そして, これを昨晩の実行結果と比較します. このログは <tt>/var/log/setuid*</tt> で参照できます.  怪しいプログラムは <tt>chmod</tt> を使って SUID や SGID のパーミッションを取り除くことができます. どうしても必要だと思った時にはパーミッションを戻すこともできます. <ITEM>  全てのユーザーが書き込み可能なファイル(特にシステムファイル)は, クラッカーがあなたのシステムにアクセスして, 修正することによりセキュリティホールとなりえます. さらに, 誰もが書き込めるディレクトリというものも, クラッカーが自由にファイルの追加・削除ができるため危険です. システム上にあるこのようなファイルの位置を特定するには, 以下のコマンドを使います: <tscreen><verb> root# find / -perm -2 ! -type l -ls </verb></tscreen>  それから, どうしてこれらのファイルが書き込み可能になったのかを確かめてください. 普通に操作している場合でも, <tt>/dev</tt> のいくつかのファイルやシンボリックリンク等を含めて, 誰でも書き込めるファイルがいくつかあります. したがって, <tt>! -type l</tt> を用いて, 先の <tt>find</tt> コマンドの結果からこれらを取り除いてください. <ITEM>  所有者のいないファイルも侵入者がシステムにアクセスした可能性を示します. 所有者がいないファイルや, どのグループにも属していないファイルは, 以下のコマンドで見つけることができます: <tscreen><verb> root# find / -nouser -o -nogroup -print </verb></tscreen> <ITEM>  <tt>.rhosts</tt> ファイルを見つけることも, システム管理者の日常業務の一部です. このファイルをシステムに設置するのは許可すべきでないからです. クラッカーがネットワーク全体にアクセスする可能性を得るためには, 安全でないアカウントが 1 つだけあれば良いということを忘れないでください. システム上の全ての <tt>.rhosts</tt> ファイルは以下のコマンドで見つけることができます: <tscreen><verb> root# find /home -name .rhosts -print </verb></tscreen> <ITEM>  最後になりますが, システムファイルのパーミッションの変更は, しようとしていることを必ず理解してからにしてください. 何かを動かすための楽な方法だからといって, ファイルのパーミッションを変えてはいけません. パーミッションを変える前には, ファイルのパーミッションがそうなっている理由を必ず理解してください. </ITEMIZE>   <SECT1>umask の設定<label id="umask">  <tt>umask</tt> コマンドを使って, システムのデフォルトのファイル生成モードを決めることができます. umask 値は設定したいファイルモードの 8 進数での補数になります. パーミッションに関する指定を何も行わずにファイルを生成すると, パーミッションを与えるべきでない何者かに対して読み書きのパーミッションを意図せずに与えてしまうかもしれません. 通常は <tt>umask</tt> 値の設定は <tt>022</tt>, <tt>027</tt>, <tt>077</tt> です. <tt>077</tt> は最も厳しい設定です. 通常は umask 値は <tt>/etc/profile</tt> で設定され, システムの全ユーザに適用されます. ファイル生成マスクは, 777 から希望の値を引き算することによって計算することができます. 言い換えると, umask 値が 777 であれば, 新しく生成されるファイルは誰に対しても読み書きと実行のパーミッションを持ちません. マスクが 666 ならば, 新しく生成されるファイルのモードは 111 となります. 例えば, 以下のような行を設定できます: <tscreen><verb> # Set the user's default umask umask 033 </verb></tscreen>  ただし, root ユーザの umask 値は必ず <tt>077</tt> にしてください. こうしておくと, <tt>chmod</tt> を使って明示的に変えない限り, 他のユーザの読み書きと実行は無効になります. umask 値に 033 を設定した場合には, 新しく生成されるディレクトリのパーミッションは 744 になります. この値は 777 から 033 を引いて得られたものです. umask 値 033 を用いて新しく生成されるファイルはパーミッション 644 を持ちます.  Red Hat を使っており, Red Hat のユーザ ID, グループ ID の作成方法 (User Private Groups) に従う場合, <tt>umask</tt> には <tt>002</tt> だけ設定していれば十分です. その理由は, デフォルトの設定で 1 グループに 1 ユーザしかいないためです.   <SECT1>ファイルのパーミッション  システム管理を行うべきでないユーザやグループの権限ではシステムファイルを変更できないようにしておくのは重要なことです.  UNIX はファイルとディレクトリのアクセス制御を 3 つの特性 (所有者, グループ, 全員)に分離しています. 常に一人だけを指す所有者, 任意の人数を指せるグループ, そしてそれ以外の全員です.  以下で UNIX のパーミッションを簡単に説明します:  所有権 (ownership) - あるノードやその親ノードのパーミッション設定をどのユーザ, グループが行うことができるのかを示します.  パーミッション(permissions) - ファイルに対して行うことができるアクセスの種類を決めるビット列. 組合せが同じでも, ディレクトリのパーミッションはファイルのパーミッションとは意味が異なることがあります.  読み出し(read): <ITEMIZE> <ITEM>ファイルの内容を見ることができる <ITEM>ディレクトリの内容を見ることができる </ITEMIZE>  書き込み(write): <ITEMIZE> <ITEM>ファイルの内容の追加, 修正ができる <ITEM>ディレクトリのファイルの消去やファイル移動ができる </ITEMIZE>  実行(execute): <ITEMIZE> <ITEM>バイナリのプログラムやシェルスクリプトを実行できる <ITEM>読み出しのパーミッションと組み合わせて, ディレクトリ内を調べることができる </ITEMIZE> <descrip>  <tag/テキスト保存属性: (ディレクトリ用)/  ディレクトリに適用する場合, 「sticky ビット」の意味はファイルに適用する場合と異なります. sticky ビットがディレクトリに設定されている場合に削除できるファイルは, そのディレクトリへの書き込み権限があったとしても, 自分が所有しているファイルか明示的に書き込み許可が与えられているファイルだけです. このビットは <tt>/tmp</tt> のようなディレクトリのために用意されたものです. このようなディレクトリは誰でも書き込みはできますが, 誰でも自由にファイル消去を認めるのは望ましくありません. ディレクトリを詳細表示すると, sticky ビットは <tt>t</tt> で表されます. </descrip> <descrip>  <tag/SUID 属性: (ファイル用)/  これはファイルへの SUID パーミッションを示します. ユーザ ID 設定アクセスモードが所有者のパーミッションで設定されており, かつそのファイルが実行可能であれば, これを実行したプロセスは, プロセスを起動したユーザではなく, ファイルを所有しているユーザに基づいてシステムのリソースにアクセスできます. これは各種 'buffer overflow' 攻撃の原因となります. </descrip> <descrip>  <tag/SGID 属性: (ファイル用)/  グループのパーミッションで設定されていれば, このビットはファイルの「グループ ID 設定」状態を制御します. これは SUID と同じように動作しますが, ユーザではなくグループが影響を受ける点が異なります. このビットに効果を持たせるためには, やはりファイルは実行可能でなければいけません. </descrip> <descrip>  <tag/SGID 属性: (ディレクトリ用)/  (<tt>chmod g+s <it>directory</it></tt> を行って) ディレクトリに SGID ビットを設定した場合, このディレクトリに作られたファイルはディレクトリのグループに設定されたグループを持ちます. </descrip>  あなた - ファイルの所有者 グループ - あなたが所属するグループ 全員 - 所有者でもグループのメンバでもない, システム上の全員  <bf>ファイルの例:</bf>  <tscreen><verb> -rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin 1番目のビット - ディレクトリか? (no) 2番目のビット - 所有者が読み出せるか? (yes, ユーザ kevin が可能) 3番目のビット - 所有者が書き込めるか? (yes, ユーザ kevin が可能) 4番目のビット - 所有者が実行できるか? (no) 5番目のビット - グループは読み出せるか (yes, users グループが可能) 6番目のビット - グループは書き込めるか? (no) 7番目のビット - グループは実行できるか? (no) 8番目のビット - 誰でも読み出せるか? (yes, 誰でも可能) 9番目のビット - 誰でも書き込めるか? (no) 10番目のビット- 誰でも実行できるか? (no) </verb></tscreen>  以下の行は, アクセス権の説明に必要な最小限のパーミッションを集めた例です. 実際には, ここに示した以上のパーミッションを与えることが必要かもしれませんが, これらのファイルに関する最小限のパーミッションが意味するところは次のようなものです:  <tscreen><verb> -r-------- 所有者に読み込みアクセスを許可します --w------- 所有者にファイルの修正と削除を許可します (そのファイルが入っているディレクトリの書き込みパーミッションを持つユーザは, ファイルの上書きや削除を行うことができます) ---x------ このプログラムの実行を許可します. シェルスクリプトの場合はこれだけでは足りず, さらに読み込みパーミッションが必要です. ---s------ 「実効ユーザ ID = 所有者」として実行を行います -------s-- 「実効グループ ID = グループ」として実行を行います -rw------T 「最終更新時刻」を更新しません. 通常はスワップファイルだけに使います. ---t------ 無意味です(以前 sticky ビットだったものです). </verb></tscreen>  <bf>ディレクトリの例:</bf>  <tscreen><verb> drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/ 1番目のビット - ディレクトリか? (yes, たくさんのファイルがある) 2番目のビット - 所有者は読み出せるか? (yes, ユーザ kevin が可能) 3番目のビット - 所有者は書き込めるか? (yes, ユーザ kevin が可能) 4番目のビット - 所有者は実行できるか? (yes, ユーザ kevin が可能) 5番目のビット - グループは読み出せるか?(yes, users グループが可能) 6番目のビット - グループは書き込めるか?(no) 7番目のビット - グループは実行できるか?(yes, users グループが可能) 8番目のビット - 誰でも読み出しできるか?(yes, 誰でも可能) 9番目のビット - 誰でも書き込めるか? (no) 10番目のビット- 誰でも実行できるか? (yes, 誰でも可能) </verb></tscreen>  以下の行は, アクセス権の説明に必要な最小限のパーミッションを集めた例です. 示したもの以外にも多くのパーミッションが必要だと思うかもしれませんが, これはこれらのファイルに対する最小限のパーミッションで記述できるはずです:  <tscreen><verb> dr-------- 内容は表示できますが, ファイルの属性は読み出せません d--x------ ディレクトリに入れ, 実行時に絶対パスの一部として使うことができます. dr-x------ 所有者がファイル属性を読み出すことができます d-wx------ カレントディレクトリでなくても, ファイルの生成/削除が行えます d------x-t 書き込み許可があっても他人はファイルを消すことを禁止します. /tmp で使われます. d---s--s-- 無意味です. </verb></tscreen>  システム設定ファイル (普通は <tt>/etc</tt> にあります) は通常, モードが <tt>640</tt> (-rw-r-----) で, root が所有者です. これはサイトにおけるセキュリティの要求にしたがって調整することができます. システムファイルはグループのメンバーないしは万人に書き込めるようにしていてはいけません. 一部のファイル (<tt>/etc/shadow</tt> 等) は root にしか読めない状態でなければなりませんし, 少なくとも <tt>/etc</tt> 内にあるディレクトリはその他のユーザがアクセスできてはいけません. <descrip>  <tag /SUID されたシェルスクリプト/  SUID されたシェルスクリプトはセキュリティに重大な危険を及ぼすので, カーネルはこれを無視します. そのシェルスクリプトがどれだけ安全だと思っていても, クラッカーに root のシェルを奪われてしまう可能性があります. </descrip>   <SECT1>システム整合性のチェック  ローカルからの (そしてネットワークからの) システムに対する攻撃を発見する別の良い方法は, <tt>Tripwire</tt>, <tt>Aide</tt>, <tt>Osiris</tt> のような, システムがいじられていないかどうかをチェックするプログラムを実行することです. これらは重要なバイナリや設定ファイル全てのチェックサムを取り, 参照値として正しいことが分かっている以前の値のデータベースと比較します. したがって, これらのファイルの変更は全て知ることができます.  この手のプログラムをフロッピーディスクにインストールし, このフロッピーを物理的に書き込み禁止にしておくとよいでしょう. こうしておけば, 侵入者にはシステム整合性チェックプログラムやデータベースを改竄することが不可能になります. いったんこの手のものを設定したら, これを通常のセキュリティ管理作業の一部として実行し, 何か変更がなされていないかチェックするとよいでしょう.  毎晩フロッピーディスク上のチェックプログラムを実行し, 朝にその結果をメールで送るように <tt>crontab</tt> を設定することもできます. 設定は以下のようになります. <tscreen><verb> # set mailto MAILTO=kevin # run Tripwire 15 05 * * * root /usr/local/adm/tcheck/tripwire </verb></tscreen>  実行結果は午前 5 時 15 分にメールで送られます.  整合性チェックプログラムは, いざとなってから気づくより前に侵入者を発見する天の配剤になり得ます. 一般的なシステムでは多くのファイルが変更されますので, クラッカーの動きや, 自分自身が行ったことに注意していなくてはなりませんから.  <tt>Tripwire</tt> のオープンソースなバージョンは <htmlurl url="http://www.tripwiresecurity.com" name="http://www.tripwiresecurity.com">にあります. 無料です. マニュアルとサポートは有料で入手することができます.  <tt>Aide</tt> は <htmlurl url="http://www.cs.tut.fi/~rammer/aide.html" name="http://www.cs.tut.fi/~rammer/aide.html"> にあります.  <tt>Osiris</tt> は <htmlurl url="http://www.shmoo.com/osiris/" name="http://www.shmoo.com/osiris/"> からどうぞ.   <SECT1>トロイの木馬  「トロイの木馬 (Trojan Horse)」はホメーロスのイーリアスに書かれている有名な計略に由来する名前です. 基本的な考え方は, 便利そうなプログラムやバイナリを用意しておき, これを他人にダウンロードさせて root ユーザとして実行させるというものです. これによって, 相手が気づかないうちにシステムを悪用することができます. 手に入れたバイナリが仕事をしている (とても役立っているかもしれません) と思っている間に, このバイナリが同時にセキュリティも破ってしまうのです.  したがって, マシンにプログラムをインストールする時には注意が必要です. Red Hat は MD5 チェックサムと PGP 署名を施した RPM ファイルを提供し, ユーザが本物のパッケージを入手しているのかどうかをチェックできるようにしています. 他のディストリビューションにも同様の仕組みがあります. 素性が知れず, ソースも提供されていないバイナリを root 権限で実行してはいけません! 誰もが調査できるようなソースコードを公開する攻撃者はほとんどいません.  手間はかかるかもしれませんが, プログラムのソースコードはその正式の公開サイトから入手するべきです. プログラムを root 権限で実行するならば, あなたか, あなたが信頼している人がソースコードを見て, 検査すべきです.   <sect1>パスワードのセキュリティと暗号化 <label id="password-security">  現在用いられているセキュリティ機能のうち最も重要なもののひとつがパスワードです. あなたとあなたのマシンのユーザの両方が, パスワードを安全で推測しにくいものにしておくことが大事です. 最近の Linux ディストリビューションのほとんどには, 簡単に推測できるパスワードは設定できないようになっている <tt>passwd</tt> プログラムが入っています. <tt>passwd</tt> プログラムが最新のもので, このような機能を持っているかどうか確かめておきましょう.  暗号化についての突っ込んだ議論は本書の範囲を越えてしまいますが, 入門程度ならば良いでしょう. 暗号化は大変便利ですし, たぶん今日では必須とさえ言えるでしょう. 非常に多くの種類のデータ暗号化の方法がありますが, それぞれが特徴を持っています.  ほとんどの UNIX(Linux も例外ではありません)は, DES (Data Encryption Standard) と呼ばれる片方向の暗号化アルゴリズムを主に使ってパスワードを暗号化しています. 暗号化されたパスワードは(普通)<tt>/etc/passwd</tt> か (少し一般的でないですが) <tt>/etc/shadow</tt> に保存されます. ユーザがログインしようとすると, 入力したパスワードは再び暗号化され, パスワードを格納しているファイルの該当項目と比較されます. これらが一致すればパスワードは同じはずなので, ログインが許可されます. DES は双方向の暗号化アルゴリズム (正しいキーを与えれば, 暗号化も復号化もできる)なのですが, ほとんどの UNIX が使っているのは DES の一種で片方向のアルゴリズムです. つまり, <tt>/etc/passwd</tt> (または <tt>/etc/shadow</tt>) の内容からパスワードを得るために暗号を解読することは不可能なはずです.  パスワードが十分にランダムでない場合, "Crack" や "John the Ripper" (<ref id="crack"> 章を参照)のような力任せの攻撃でもパスワードを推測できます. PAM モジュール (後述) を利用すれば, 別の暗号化ルーチン (MD5 など) を使用できます. Crack にも良い使い方があります. パスワードデータベースに対して定期的に Crack を実行し, 安全でないパスワードを見つけるのです. そして問題のあるユーザと話をして, パスワードを変えるように指導します.  良いパスワードの決め方に関する情報については <htmlurl url="http://consult.cern.ch/writeup/security/security_3.html" name="http://consult.cern.ch/writeup/security/security_3.html"> を参照してください.   <SECT1> PGP 及び公開鍵暗号  PGP 等に使われている公開鍵暗号は, ある鍵を暗号化に使い, 別の鍵を復号化に使う暗号です. 従来の暗号は, 暗号化と復号化に同じ鍵を使っていました. この鍵は通信の両側が知っていなければならず, 何らかの安全な方法で相手に送らなければなりませんでした.  暗号に使った鍵を安全に転送する必要性を無くすため, 公開鍵暗号では 2 つの別々の鍵(公開鍵と秘密鍵)を用います. 各自が持っている公開鍵は誰でも使うことができ, 暗号化はこれを使って行います. 一方, 各自は自分の秘密鍵を持っており, 正しい公開鍵を使って暗号化されたメッセージはこれを使って復号化します.  公開鍵を使う暗号にも秘密鍵を使う暗号にも利点はあります. これらの違いについては, このセクションの最後に示す <url url="http://www.rsa.com/rsalabs/newfaq/" name="the RSA Cryptography FAQ"> に説明があります.  PGP (Pretty Good Privacy) は Linux でちゃんとサポートされています. バージョン 2.62 と 5.0 の動作が確認されています. PGP への入門や使い方については, PGP FAQ を見ると良いでしょう. <htmlurl url="http://www.pgp.com/service/export/faq/55faq.cgi" name="http://www.pgp.com/service/export/faq/55faq.cgi">  必ず, あなたの国で利用できるバージョンを使ってください. これはアメリカ合衆国政府による輸出制限のためであり, 強力な暗号を電子的に国外へ転送することが禁止されているからです.  現在は輸出の管理は EAR(Export Administration Regulations)が行っています. もはや ITAR (訳注: International Traffic in Arms Regulations の略称) では管理されていません.  Linux での PGP の設定に関するステップバイステップのガイドも <htmlurl url="http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html" name="http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html"> にあります. これは PGP の国際バージョン用に書かれたものですが, アメリカ合衆国バージョンにも簡単に適用できます. 最新バージョンの Linux の一部ではパッチが必要になることがあります. このパッチは <htmlurl url="ftp://metalab.unc.edu/pub/Linux/apps/crypto" name="ftp://metalab.unc.edu/pub/Linux/apps/crypto"> で入手できます.  PGP をオープンソースでフリーに実装し直そうとしているプロジェクトがあります. GnuPG は PGP に置き換えることができる, 既に完成しているフリーなプログラムです. GnuPG は IDEA も RSA も使っていないので, 制限無しに使用することができます. GnuPG は <htmlurl url="http://core.ring.gr.jp/pub/doc/rfc/rfc2440.txt" name="OpenPGP"> にほぼ準拠しています. 詳しくは GNU Privacy Guard の WWW ページ (<htmlurl url="http://www.gnupg.org/" name="http://www.gnupg.org/">) をご覧ください. 訳注 (略語の意味):  <ITEMIZE> <ITEM><bf>IDEA</bf>: International Data Encryption Algorithm の略. 128 ビットの秘密鍵を用いた暗号アルゴリズムで, スイスの Ascom-Tech 社が特許権を持っています. <ITEM><bf>RSA</bf>: 公開鍵を用いた暗号化, 電子署名に使われているアルゴリズムで, 名称は 3 人の開発者(Rivest, Shamir, Adleman)の頭文字からとられています. 米国では 1983 年に特許の認可を受けています. </ITEMIZE>  暗号に関する詳しい情報は RSA cryptography FAQ に書かれています. これは <htmlurl url="http://www.rsa.com/rsalabs/newfaq/" name="http://www.rsa.com/rsalabs/newfaq/"> から入手できます. このドキュメントには "Diffie-Hellman 法", "公開鍵暗号", "電子認証" といった用語に関する情報が載っています. 訳注: 日本語訳は <htmlurl url="http://www.rsa-japan.co.jp/faq/index.html" name="http://www.rsa-japan.co.jp/faq/index.html"> にあります.   <SECT1> SSL, S-HTTP, HTTPS, S/MIME  ユーザは各種セキュリティと暗号化プロトコルの違いや, これらの使い方についてよく質問してきます. このドキュメントは暗号化に関するものではないのですが, 各プロトコルの内容を簡単に説明し, 情報のありかを紹介しておくのも悪くないと思います. <ITEMIZE>  <ITEM><bf>SSL:</bf> - SSL (あるいは Secure Sockets Layer)は Netscape が開発した暗号化手法で, インターネット上でセキュリティを提供します. SSL はいくつかの異なる暗号化プロトコルとクライアントとサーバの認証手法を提供します. SSL はトランスポート層を操作し, データの安全な暗号化チャネルを生成するので, 各種データをシームレスに暗号化することができます. SSL は Communicator で安全なサイトに行き, 安全なオンラインドキュメントにアクセスした時に見られます. 他のたくさんの Netscape Communicator のデータ暗号化と同様に, これは Communicator を使った安全な通信の基本部分として用意されています. 詳しい情報は <htmlurl url="http://www.consensus.com/security/ssl-talk-faq.html" name="http://www.consensus.com/security/ssl-talk-faq.html"> にあります. Netscape の他のセキュリティ機構の実装と, これらのプロトコルの手引きについては, <htmlurl url="http://home.netscape.com/info/security-doc.html" name="http://home.netscape.com/info/security-doc.html"> で入手できます.  <ITEM><bf>S-HTTP:</bf> - S-HTTP はインターネット上での安全なサービスを提供する別のプロトコルです. このプロトコルは, 機密性 (confidentiality), 認証 (authentication), 完全性 (integrity), 否認防止性 [ 他の誰かと間違うことがあり得ないこと] を与えるために設計されており, また, 各トランザクションにおける通信相手とのオプションのネゴシエーションを通じて, 複数の鍵管理機構と暗号化アルゴリズムをサポートします. S-HTTP は, これを実装している特定のソフトウェアでしか使えません. また, それぞれのメッセージを独立に暗号化します. &lsqb RSA Cryptography FAQ の 138 ページより]  <ITEM><bf>S/MIME:</bf> - S/MIME (すなわち Secure Multipurpose Internet Mail Extension)は, 暗号化電子メールやその他の種類のインターネット上のメッセージで使われる暗号化の標準です. これは RSA が開発したオープンな標準なので, Linux 用のものもたぶん近いうちに登場するでしょう. S/MIME に関する詳しい情報は <htmlurl url="http://home.netscape.com/assist/security/smime/overview.html" name="http://home.netscape.com/assist/security/smime/overview.html"> にあります. </ITEMIZE>   <SECT1> Linux における IPSEC の実装  CIPE や他の形式のデータ暗号化とともに, Linux 用の IPSEC の実装も複数個あります. IPSEC は IETF が作った規格で, 暗号化された安全な通信経路を IP ネットワークレベルで作り, また認証, 完全性, アクセス制御, 機密性も提供します. IPSEC の情報とインターネットドラフトは <htmlurl url="http://www.ietf.org/html.charters/ipsec-charter.html" name="http://www.ietf.org/html.charters/ipsec-charter.html"> にあります. 鍵管理を含めて他のプロトコルへのリンク, IPSEC のメーリングリストやアーカイブもあります.  University of Arizona で開発された x-kernel Linux という実装は, オブジェクトベースのフレームワークを使って x-kernel と呼ばれるネットワークプロトコルを実装しています. これは <htmlurl url="http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html" name="http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html"> にあります. 大雑把に言うと, x-kernel はカーネルレベルでのメッセージパッシングの手法であり, これにより実装が容易になっています.  これとは別のフリーに利用できる IPSEC の実装は Linux FreeS/WAN IPSEC です. その WWW ページを引用すると <quote> 「これらのサービスを用いると, 信頼できないネットワーク上に安全なトンネルを構築することができます. 信頼できないネットワークを通るデータは全て IPSEC ゲートウェイマシンにより暗号化され, その反対の端のゲートウェイによって復号化されます. これにより仮想プライベートネットワーク (Virtual Private Network, VPN) ができます. これは, 安全でないインターネットで接続された異なる複数のサイトを含んでいても, 実質的にプライベートなネットワークです」 </quote> とのことです.  これは <htmlurl url="http://www.xs4all.nl/~freeswan/" name="http://www.xs4all.nl/~freeswan/"> で入手することができます. このドキュメントの執筆中にちょうどバージョン 1.0 になりました.  他の形式の暗号と同様に輸出が制限されているため, デフォルトではカーネルと共に配布されていません.   <SECT1> <tt>ssh</tt> (Secure Shell) と <tt>stelnet</tt><label id="ssh">  <tt>ssh</tt> と <tt>stelnet</tt> は, リモートのシステムにログインし, 暗号化された接続を行うためのプログラム群です.  <tt>openssh</tt> は <tt>rlogin</tt>, <tt>rsh</tt>, <tt>rcp</tt> の安全な代用品として使われるプログラム群です. <tt>ssh</tt> は 2 つのホスト間の通信とユーザ認証を公開鍵暗号を使って暗号化します. <tt>ssh</tt> を使うと安全にリモートホストにログインしたり, ホスト間でデータを安全にコピーしたりすることができ, 割り込み攻撃(セッションのハイジャック)や DNS 詐称を防ぐことができます. <tt>ssh</tt> は接続上でデータ圧縮も行い, ホスト間での安全な X11 の通信も行います.  いまでは, ssh には何種類かの実装があります. Data Fellows 社によるオリジナルの商用の実装は The <tt>ssh</tt> home page <htmlurl url="http://www.datafellows.com" name="http://www.datafellows.com"> にあります.  The excellent Openssh の素晴らしい実装は Data Fellows の ssh の初期のバージョンを元にしつつ, 特許に関わる部分や占有物が入らなくなるように完全に作り直されました. フリーで, BSD ライセンスの元にあります. <htmlurl url="http://www.openssh.com" name="http://www.openssh.com"> にあります.  "psst..." という名前の, ssh を一から再実装しようというオープンソースなプロジェクトもあります. 詳しくは <htmlurl url="http://www.net.lut.ac.uk/psst/" name="http://www.net.lut.ac.uk/psst/"> をご覧ください.  <tt>ssh</tt> を Windows PC から Linux の <tt>ssh</tt> サーバに対して使うこともできます. Windows 用のクライアントの実装はいくつかあります. その 1 つは <htmlurl url="http://guardian.htu.tuwien.ac.at/therapy/ssh/" name="http://guardian.htu.tuwien.ac.at/therapy/ssh/"> ですし, DataFellows による商用の実装も <htmlurl url="http://www.datafellows.com" name="http://www.datafellows.com"> にあります.  SSLeay は Netscape の Secure Sockets Layer プロトコルのフリーの実装です. これには Secure telnet, Apache 用のモジュール, いくつかのデータベース等のアプリケーションがいくつか含まれており, DES, IDEA, Blowfish 等のアルゴリズムもいくつか含まれています.  このライブラリを使って, telnet 接続上のデータを暗号化する telnet の安全な代替プログラムが作られました. SSH と異なり, stelnet は Netscape が開発した SSL (Secure Sockets Layer) プロトコルを使います. Secure telnet と Secure FTP は SSLeay FAQ からたどって見つけることができます. この FAQ は <htmlurl url="http://www.psy.uq.oz.au/~ftp/Crypto/" name="http://www.psy.uq.oz.au/~ftp/Crypto/"> にあります. 訳注: 日本語訳が <htmlurl url="http://www.infoscience.co.jp/technical/crypto/ssleay_jp.html" name="http://www.infoscience.co.jp/technical/crypto/ssleay_jp.html"> にあります.  SRP は別の安全な telnet/ftp の実装です. その WWW ページを引用すると  <quote> 「SRP プロジェクトは世界中でフリーに利用できる安全なインターネットソフトウェアを開発しています. 完全に安全な telnet と ftp の配布を始めとして, 我々は弱いネットワーク認証を, セキュリティのためにユーザインタフェースを犠牲にしない強力なものに置き換えたいと考えています. セキュリティがオプションなんてとんでもない! セキュリティはデフォルトでなければなりません」 </quote> とのことです.  詳しい情報については <htmlurl url="http://srp.stanford.edu/srp" name="http://srp.stanford.edu/srp"> を見てください.   <SECT1>PAM - 交換可能な認証モジュール  最近のバージョンの Red Hat Linux ディストリビューションでは, "PAM" と呼ばれる統一された認証方法が使われています. PAM を使うと, システムを動作させたままで認証の方法や要件を変更することとローカルの認証方法をカプセル化することが可能になります. バイナリは一切再コンパイルする必要がありません. PAM の設定は本書の範囲を越えますが, 必ず PAM のウェブサイトを見て, 詳しい情報を見ておいてください. <htmlurl url="http://www.kernel.org/pub/linux/libs/pam/index.html" name="http://www.kernel.org/pub/linux/libs/pam/index.html">  PAM で可能になることをほんの少しだけ列挙します. <ITEMIZE> <ITEM>  パスワードに DES 以外の暗号を用いる. (力任せの解読が難しくなります) <ITEM>  サービス妨害攻撃を実行できなくするため, 全てのユーザに対してリソース (プロセス数, メモリの大きさ等) の制限を加える. <ITEM>  システムを動作させたまま, シャドウパスワード(後述)を利用可能にする. <ITEM>  特定のユーザについて, 特定の回数のみ, 特定の場所からログインを許可する. </ITEMIZE>  システムのインストールと設定を行う数時間の間に, 実際に攻撃を受ける前に多くの攻撃を予防しておくことができます. 例えば PAM を使うと, ホームディレクトリの <tt>.rhosts</tt> ファイルの使用をシステム全体で無効にすることができます. 設定は <tt>/etc/pam.d/rlogin</tt> に以下のような行を追加します: <tscreen><verb> # # Disable rsh/rlogin/rexec for users # login auth required pam_rhosts_auth.so no_rhosts </verb></tscreen>   <SECT1>暗号による IP のカプセル化 (Cryptographic IP Encapsulation, CIPE)  このソフトウェアの基本的な目的は, インターネットのような安全でないパケットネットワークを通る安全な (トラフィック解析, 偽メッセージ混入を含む盗聴に対して) サブネットワーク間接続を提供することです.  CIPE はデータをネットワークレベルで暗号化します. つまり, ネットワーク上のホスト間を転送されるパケットが暗号化されます. 暗号化エンジンはパケットを送受信するドライバの近くに配置されます.  CIPE は, 接続ごとにソケットレベルでデータを暗号化する SSH とは異なります. 異なるホスト上で実行されているプログラム間の論理的な接続が暗号化されます.  CIPE は仮想プライベートネットワーク (Virtual Private Network) を構築するために, トンネリングで使うことができます. 低レベルの暗号化には, アプリケーションソフトウェアを変更しなくても, VPN に接続している 2 つのネットワーク間で透過的に動作させることができるという利点があります.  CIPE のドキュメントからの要約です:  <quote> IPSEC 標準は, 暗号化された VPN を構築するため (他にもありますが) に使うことができるプロトコル群を定義しています. しかし, IPSEC はオプションがたくさんある比較的重くて複雑なプロトコル群で, プロトコル群の完全な実装はまだほとんど使われておらず, 一部の問題 (鍵管理など) はまだ完全には解決されていません. CIPE は比較的簡単なアプローチを取っており, CIPE においてパラメータ化できることの多く (実際に使う暗号化アルゴリズムの選択など)は, インストール時に選択したものに固定されます. これは柔軟さを制限しますが, 実装が簡単に (したがって, 効率的でデバッグもしやすく) なります. </quote>  詳しい情報は <htmlurl url="http://www.inka.de/~bigred/devel/cipe.html" name="http://www.inka.de/~bigred/devel/cipe.html"> にあります.  他の暗号化と同様の輸出制限のため, CIPE はカーネルと一緒には配布されていません.  <SECT1> Kerberos  Kerberos は MIT の Athena Project で開発された認証システムです. ユーザがログインした時, Kerberos は(パスワードを用いて)ユーザを認証し, ネットワーク上に分散している他のサーバやホストに対してユーザの身分を証明するための方法を提供します.  それから, この認証情報は <tt>rlogin</tt> のようなプログラムが使い, ユーザがパスワード無しで他のホストにログインすることを許可するために使います (<tt>.rhosts</tt> ファイルの代わり). この認証方法をメールシステムで使えば, メールが正しい宛先に配達されたことの保証や, 送信者が自分が名乗っている通りのユーザであることの保証が行えます.  Kerberos およびこれに付属しているプログラムは, あるユーザが, 自分を他のユーザであるとシステムに思わせる「詐称」を実質的に不可能にします. Kerberos のインストールは残念ながらシステムに深く立ち入ったものになるので, 基本的なプログラムをたくさん修正したり入れ換えたりしなければなりません.  Kerberos に関する詳しい情報は <htmlurl url="http://www.cis.ohio-state.edu/hypertext/faq/usenet/kerberos-faq/general/faq.html" name="the kerberos FAQ"> にあり, コードは <htmlurl url="http://nii.isi.edu/info/kerberos/" name="http://nii.isi.edu/info/kerberos/"> にあります.  [参考: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.]  Kerberos はホストのセキュリティ向上のために取るべき最初のステップではありません. Kerberos は非常に複雑ですし, 例えば SSH ほど使われているわけでもありません.   <SECT1> シャドウパスワード  シャドウパスワードは, 暗号化されたパスワード情報を一般ユーザから隠す手法です. Red Hat と Debian の両方とも, 最近のバージョンではデフォルトでシャドウパスワードを使うようになっていますが, ほかのシステムでは, 暗号化されたパスワードは普通, 誰でも読める <tt>/etc/passwd</tt> に格納されています. したがって, 誰でもパスワード推測プログラムを実行してパスワードを見つけようと試みることができます. 一方シャドウパスワードでは, この情報は特権ユーザしか読めない <tt>/etc/shadow</tt> ファイルに格納されます. シャドウパスワードを利用するためには, パスワード情報へアクセスする必要があるユーティリティを全てシャドウパスワード対応に再コンパイルする必要があります. (先述の) PAM を使っていれば, シャドウモジュールを使用するだけでよく, 実行ファイルを再コンパイルする必要はありません. 必要ならば Shadow-Password HOWTO を参照して詳しい情報を調べてください. このドキュメントは <htmlurl url="http://linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html" name="http://linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html"> にあります. このドキュメントは現在は多少古くなっていますし, PAM をサポートしているディストリビューションではたぶん不要でしょう. 訳注: 和訳は <htmlurl url="http://www.linux.or.jp/JF/JFdocs/Shadow-Password-HOWTO.html" name="http://www.linux.or.jp/JF/JFdocs/Shadow-Password-HOWTO.html"> にあります.   <SECT1> "Crack" および "John the Ripper"<label id="crack">  推測しにくいパスワードをつけることを <tt>passwd</tt> プログラムにおいて強制することができない場合は, パスワードをクラッキングするプログラムを実行し, ユーザのパスワードが安全かどうか確認するとよいでしょう.  パスワードクラックのプログラムは, 単純な考えに基づいて動作します. つまり, 辞書に載っている単語とこれらの単語の変化形を順に試すのです. それぞれを暗号化し, 暗号化されたパスワード文字列と比べます. これらが一致すれば, パスワードがわかります.  このようなプログラムはたくさんありますが, その中でも "Crack" と "John the Ripper" (<htmlurl url="http://www.false.com/security/john/index.html" name="http://www.false.com/security/john/index.html">) の 2 つが有名です. これらは CPU パワーを大量に消費しますが, 予めこれを実行しておくことで, 攻撃者がこれらのツールを使って侵入することができるかどうか知ることができ, 脆弱なパスワードを使っているユーザに注意することができます. 攻撃者はパスワードファイル (UNIX では <tt>/etc/passwd</tt>) を入手するために, まず他のセキュリティホールを突かなければなりませんが, それは読者の皆さんがが考えているよりもありふれているものであることは知っておいてください.  最も弱いホストの強さが全体のセキュリティの強さになってしまいます. ですから, ネットワーク上に Windows マシンがある場合には L0phtCrack を調べるべきだということは言及しておく価値があるでしょう. これは Crack の Windows 用の実装です. これは <htmlurl url="http://www.l0pht.com" name="http://www.l0pht.com"> で入手できます.   <SECT1> CFS (暗号化ファイルシステム)と TCFS (透過的暗号化ファイルシステム)  CFS はディレクトリツリー全体を暗号化する手法で, このツリーに暗号化されたファイルを置くことができます. これはローカルマシン上で NFS サーバを動作させます. RPM は <htmlurl url="http://www.zedz.net/redhat/" name="http://www.zedz.net/redhat/"> で入手可能であり, 動作に関する情報は <htmlurl url="ftp://ftp.research.att.com/dist/mab/" name="ftp://ftp.research.att.com/dist/mab/"> で得られます.  TCFS は CFS を改良したもので, ファイルシステムとの統合をより進めたものです. したがって, ユーザは透過的に暗号化ファイルシステムを利用することができます. 詳しい情報は <htmlurl url="http://edu-gw.dia.unisa.it/tcfs/" name="http://edu-gw.dia.unisa.it/tcfs/" > で得られます.  TCFS は必ずしもファイルシステム全体で使う必要はありません. これもディレクトリツリーで使用することができます.   <SECT1>X11, SVGA, ディスプレイに関するセキュリティ  <SECT2> X11  グラフィックディスプレイを安全にしておき, 攻撃者が入力したパスワードを奪ったり, 画面で見ているドキュメントや情報を読んだり, セキュリティホールを突いて root 権限を奪ったりできないようにしておくことは重要です. X アプリケーションをネットワーク越しにリモートで動作させることも, リモートのシステムとのやりとりを全部盗聴されてしまう危険を伴うことがあります.  X にはアクセス制御機構がいくつもあります. その中で最も簡単なものはホストに基づくものです. <tt>xhost</tt> コマンドを用いれば, ディスプレイへのアクセスが許可されるホストを指定できます. しかし, この機構は非常に危険です. マシンにアクセスできる人は, <tt>xhost +</tt> を実行し, 容易に侵入することができます. もし, 信頼できないホストからのアクセスを許可しなければならない場合には, そのホストにログインしているユーザは誰でもディスプレイに不正アクセスすることができます.  ログインのために <tt>xdm</tt> (X ディスプレイマネージャ) を使っている場合, ずっと良いアクセス方法である MIT-MAGIC-COOKIE-1 を使いましょう. この機構は 128ビット長の「クッキー」を生成して, ユーザのホームディレクトリの <tt>.Xauthority</tt> ファイルに格納します. リモートのマシンにディスプレイへのアクセスを許可するには, <tt>xauth</tt> コマンドと <tt>.Xauthority</tt> ファイル内の情報を使って, その接続だけを許可するようにします. Remote-X-Apps mini-howto をご覧ください. これは <htmlurl url="http://linuxdoc.org/HOWTO/mini/Remote-X-Apps.html" name="http://linuxdoc.org/HOWTO/mini/Remote-X-Apps.html"> で入手できます. 訳注: <htmlurl url="http://www.linux.or.jp/JF/JFdocs/Remote-X-Apps.html" name="Remote-X-Apps の和訳"> があります.  X の接続を安全に行うために <tt>ssh</tt> (前述の <ref id="ssh"> の項を参照のこと) を使うこともできます. <tt>ssh</tt> には, ユーザが透過的に扱うことができる, およびネットワーク上に暗号化されていないデータが流れない, という 2 つの利点があります.  X のセキュリティについての詳しい情報については, オンラインマニュアルの <tt>Xsecurity</tt> を参照してください. 安全な策としては, コンソールにログインするときには <tt>xdm</tt> を使い, リモートのサイトで X のプログラムを実行したいときは <tt>ssh</tt> を使うことです.  <SECT2> SVGA  SVGAlib を使うプログラムはビデオ関係のハードウェアを操作するため, 普通は root に setuid されます. これは非常に危険です. プログラムがクラッシュした場合, 普通はコンソールを元に戻すためマシンを再起動しなくてはならなくなってしまいます. このようなプログラムについては, 確実に信頼できること, あるいは少なくとも少しは信用できることを確かめてください. できれば, そもそも使わないのが良いでしょう.  <SECT2> GGI (Generic Graphics Interface project)  Linux GGI プロジェクトは Linux のビデオインタフェースの問題についてひとつの解を提案しようとする試みです. GGI では Linux のカーネル内に少しビデオ関係のコードを入れ, そうしてビデオへアクセスします. つまり, GGI を使えばいつでもコンソールを正常な状態に戻すことができます. また, secure attention key を使うことができ, コンソールでトロイの木馬が入った <tt>login</tt> プログラムを使われるのを防げます. <htmlurl url="http://synergy.caltech.edu/~ggi/" name="http://synergy.caltech.edu/~ggi/">   <SECT> カーネルのセキュリティ<label id="kernel-security">  ここではセキュリティに関連するカーネル設定オプションの説明と, それらの動作や使い方に関する説明を行います.  カーネルはコンピュータのネットワークを制御するので, カーネルをこの上なく安全にしておくことと, カーネルそのものが破られないようにすることは重要です. 最近出現したネットワーク攻撃のいくつかを防ぐために, カーネルのバージョンは最新に保つようにすべきです. 新しいカーネルは <url url="ftp://ftp.kernel.org"> またはお使いのディストリビューションのベンダから入手できます.  本家の Linux カーネル用にひとつに統合された暗号化パッチを提供している国際的なグループもあります. このパッチは, 各種暗号サブシステムや輸出制限のために本家のカーネルに含まれていない機能を提供します. 詳しい情報についてはグループの WWW ページ <htmlurl url="http://www.kerneli.org" name="http://www.kerneli.org"> をご覧ください.   <SECT1> バージョン 2.0 のカーネルのコンパイルオプション  2.0.x カーネルでは以下のオプションが該当します. カーネルを設定する際にこれらのオプションを確認することになるでしょう. ここに挙げたコメントの多くは <tt>./linux/Documentation/Configure.help</tt> から取っています. このコメントは, カーネルのコンパイル時に<tt>make config</tt> の Help 機能で参照できるドキュメントと同じものです. <ITEMIZE> <ITEM>Network Firewalls (CONFIG_FIREWALL)  このオプションは Linux マシンでファイアウォールを構築する際や IP マスカレードを行う際に有効にすべきです. 単に普通のクライアントマシンにするつもりならば no と設定するのが安全でしょう. <ITEM>IP: forwarding/gatewaying (CONFIG_IP_FORWARD)  IP forwarding を有効にすると, Linux マシンは本質的にルータになります. このマシンがネットワークに繋がっていると, あるネットワークから別のネットワークにデータを転送しているかもしれず, これを起さないために設置されている防火壁をたぶん壊しています. 通常のダイアルアップユーザはこれを無効にしたいと思うでしょうし, 他のユーザはこれを行うことのセキュリティ的な意味を良く考えるべきです. 防火壁のマシンはこれを有効にし, 防火壁のソフトウェアと組み合わせて使おうと考えるでしょう.  IP forwarding は以下のコマンドで動的に有効にすることができます: <tscreen><verb> root# echo 1 > /proc/sys/net/ipv4/ip_forward </verb></tscreen>  また次のコマンドで無効にすることができます: <tscreen><verb> root# echo 0 > /proc/sys/net/ipv4/ip_forward </verb></tscreen>  /proc にあるファイルは「仮想的」なファイルであり, 表示されるファイルの大きさは, そこから出てくるデータの量を反映していないことは覚えておいてください. <ITEM>IP: syn cookies (CONFIG_SYN_COOKIES)  「SYN 攻撃」はサービス妨害(DoS)攻撃のひとつです. マシンのリソースを全て喰い潰してしまい, リブートするはめに追い込みます. このオプションを有効にしておかない理由は普通は考えられません. 2.2.x 系のカーネルでは, この設定オプションは単に syn cookie を許可するだけで, 有効にはしません. これを有効にするには以下のコマンドを実行する必要があります: <tscreen><verb> root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies </verb></tscreen> <ITEM>IP: Firewalling (CONFIG_IP_FIREWALL)  このオプションが必要になるのは, マシンを防火壁として設定する時や, IP マスカレードを行う時に PPP のダイアルアップインタフェース経由で何者かがダイアルアップマシンに入ってくるのを防ぎたい時です. <item>IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE)  このオプションを使うと, 送信者, 受信者, ポート等の防火壁が受け取ったパケットに関する情報が記録されます. <ITEM>IP: Drop source routed frames (CONFIG_IP_NOSR)  このオプションは有効にすべきです. 始点で経路設定されたフレーム (source routed frames) は, 終点までの全体のパスをパケット内に持っています. つまり, パケットが通るルータはパケットを検査する必要がなく, 単に転送すればよいということです. これは危険であるかもしれないデータをシステムに入れる可能性を持ちます. <ITEM>IP: masquerading (CONFIG_IP_MASQUERADE)  Linux マシンが防火壁として動作している場合, そのローカルネットワークのコンピュータのひとつが外部に接続しようとすると, Linux マシンはそのホストの「仮面を被る」ことができます. つまり, Linux マシンはローカルネットワーク内のマシンが想定している終点アドレスへトラフィックを転送しますが, このトラフィックが防火壁のマシンから来たように見せかけます. 詳しい情報については <htmlurl url="http://www.indyramp.com/masq" name="http://www.indyramp.com/masq"> をご覧ください. <ITEM>IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP)  前のオプションは TCP トラフィックと UDP トラフィックのマスカレーディングしか行いませんが, このオプションは ICMP のマスカレーディングも行うようにします. <ITEM>IP: transparent proxy support (CONFIG_IP_TRANSPARENT_PROXY)  このオプションは, Linux マシンの防火壁の透過的リダイレクト機能を有効にします. つまり, ローカルネットワークが始点であり, かつ終点がリモートホストであるような任意のネットワークトラフィックがローカルのサーバ (いわゆる「透過的プロキシサーバ」) にリダイレクトされます. これにより, ローカルのコンピュータにリモート側と通信していると思わせながら, 実際にはローカルのプロキシと接続した状態にします. 詳しくは IP-Masquerading HOWTO と <htmlurl url="http://www.indyramp.com/masq" name="http://www.indyramp.com/masq"> をご覧ください. <ITEM>IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG)  普通はこのオプションは無効になっていますが, 防火壁や IP マスカレードを行うホストを構築する場合には, このオプションを有効にしたくなるはずです. あるホストから別のホストまでデータが送られる時, データは必ずしも単独のデータパケットだけで送られるわけではなく, 複数個のパケットに分割されます. このやり方の問題点は, ポート番号は最初のパケットにしか格納されていないことです. つまり, 何者かが入っていないはずの情報をその接続の残りのパケットに入れることが可能なのです. このオプションは, teardrop 攻撃に対するパッチを当てていない内部ホストに対する teardrop 攻撃も防ぐことができるはずです. <ITEM>Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING)  このオプションは 2.2.x 系列のカーネルで利用可能なオプションで, セキュリティを強固にするために NCP パケットに署名をするようにします. 通常は無効にしておいて構いませんが, 必要ならばどうぞ. <ITEM>IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK)  これは実に便利なオプションで, ユーザ空間プログラムのパケットの先頭の 128 バイトを解析し, 正当さに基づいてそのパケットを許すか拒否するかを決めるようにできます. </ITEMIZE>   <SECT1> バージョン 2.2 のカーネルのコンパイルオプション  2.2.x カーネルでも多くのオプションは同じですが, 新しいオプションもいくつか開発されています. ここに挙げたコメントの多くは <tt>./linux/Documentation/Configure.help</tt> から取っています. このコメントは, カーネルのコンパイル時に <tt>make config</tt> の Help 機能で参照できるドキュメントと同じものです. 以下では新しく追加されたオプションだけを示します. 必要な他のオプションについては, 2.0 用の説明を参照してください. 2.2 カーネルにおける最大の変更点は, IP firewalling のコードです. 2.2 カーネルからは, IP firewalling を行うには, <tt>ipchains</tt> を使うようになりました. 2.0 カーネルで使われていた <tt>ipfwadm</tt> は使いません. <ITEMIZE> <ITEM>Socket Filtering (CONFIG_FILTER)  大抵の人にとっては, このオプションに no を設定しておくのが安全です. このオプションを使うと, ユーザ空間のフィルタを任意のソケットに接続して, パケットを受け取るか拒否するかを決めることができます. どうしても必要, かつフィルタのようなプログラムを組めないのなら, このオプションには no を設定すべきです. 本 HOWTO の執筆時点では, TCP を除く全てのプロトコルがサポートされています. <ITEM>Port Forwarding  ポート転送 (Port Forwarding) は IP マスカレードへの追加機能であり, 指定されたポートにおける一部のパケットについて, 防火壁の外部から内部への転送を許可します. このオプションが役立つのは, 例えば WWW サーバを防火壁の中や IP マスカレードを行うホストの後ろで実行し, これを外の世界からアクセスできるようにしたい場合です. 外部のクライアントが防火壁の 80 番ポートにリクエストを送ると, 防火壁はこのリクエストを WWW サーバに転送します. WWW サーバはリクエストを処理し, その結果を防火壁経由で元のクライアントに送ります. クライアントにとっては, 防火壁のマシンで WWW サーバが動いているように見えます. この機能は, 防火壁の後ろに全く同じ構成の WWW サーバが複数ある場合に負荷調整 (load balancing) を行うためにも使えます.  この機能に関する情報は http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html にあります (WWW を見るには, インターネットに接続しており, かつ lynx や Netscape のようなプログラムが使えるマシンが必要です). 一般的な情報については ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/ をご覧ください. <ITEM>Socket Filtering (CONFIG_FILTER)  このオプションを使うと, ユーザ空間プログラムは任意のソケットにフィルタを付けることができ, 特定の種類のデータをソケット経由で取得する際に許可するか拒否するかをカーネルに指示することができます. Linux のソケットフィルタリングは, 現在 TCP を除く全ての種類のソケットで動作します. 詳しくはテキストファイル <tt>./linux/Documentation/networking/filter.txt</tt> をご覧ください. 訳注: カーネルのソースに含まれているテキストファイルのことです. <ITEM>IP: Masquerading  カーネル 2.2 の IP マスカレードは改良されています. 特殊なプロトコルのマスカレーディング等のサポートが追加されています. 詳しくは IP Chains HOWTO をご覧ください. </ITEMIZE>   <sect1> カーネルデバイス  Linux には, セキュリティの向上にも使えるブロックデバイスやキャラクタデバイスがいくつかあります.  <tt>/dev/random</tt> と <tt>/dev/urandom</tt> という, いつでもランダムなデータを取り出せる 2 つのデバイスがカーネルに用意されています.  <tt>/dev/random</tt> と <tt>/dev/urandom</tt> はどちらも安全であり, PGP の鍵や <tt>ssh</tt> のチャレンジ文字列の生成や, ランダムな数字を必要とする他のアプリケーションで利用できるはずです. これらを入力として数の初期シーケンスを与えても, 攻撃者が次の数を予測することは不可能なはずです. これらの入力から得た数字があらゆる意味において言葉通りランダムであることを保証するため, 大変な努力が行われてきました.  2 つのデバイスの唯一の違いは, <tt>/dev/random</tt> はランダムなバイト列を全て使う点と, 計算を行うためのユーザの待ち時間がより長い点です. 一部のシステムでは, ユーザが生成したエントロピーがシステムに入るのを待つ長い間, ブロックされてしまうことに注意してください. したがって, <tt>/dev/random</tt> を使う前には気を付ける必要があります. (これの利用の最良の場面はおそらく, 機密キー入力情報を生成する時で, ユーザに「はい, もう十分です」と表示するまでキーボードを繰り返し叩いてもらう場合です)  <tt>/dev/random</tt> は非常に高品質のエントロピーを持ち, 割り込み間の時間等の測定値から生成しています. このデバイスは十分なビット数のランダムデータが利用可能になるまでブロックします.  <tt>/dev/urandom</tt> も同様ですが, エントロピーの保持量が少なくなると, 現在保持している値の暗号学的に強いハッシュ値を返します. これは <tt>/dev/random</tt> ほど安全ではありませんが, ほとんどの目的に対してはこれで十分です.  このデバイスは以下のようにして読み出すことができます: <tscreen><verb> root# head -c 6 /dev/urandom | mmencode root# head -c 6 /dev/urandom | mimencode </verb></tscreen>  これはコンソールに 8 つのランダムな文字を出力します. パスワード生成などによいでしょう. <tt>mimeencode</tt> は <tt>metamail</tt> パッケージに入っています.  アルゴリズムの説明については, <tt>/usr/src/linux/drivers/char/random.c</tt> を参照してください.  これについて筆者(Dave)に教えてくださった, Theodore Y. Ts'o さん, Jon Lewis さん他の Linux-kernel ML の皆さんに感謝します.   <SECT>ネットワークのセキュリティ<label id="network-security">  ネットワークに接続する時間が長ければ長いほど, ネットワークのセキュリティが重要になってきます. ネットワークのセキュリティを破ることは, 物理的あるいはローカルのセキュリティを破るよりも簡単なことが多く, よりありふれたことです.  ネットワークのセキュリティ確保を支援するための良いツールはたくさんあり, これらの多くは Linux の各ディストリビューションにも付属しています.   <SECT1>パケット盗聴  侵入者がネットワーク上でより多くのシステムのアクセス権を得るためによく使う方法の一つが, 既に悪用しているホスト上でパケット盗聴プログラムを使うことです. この「盗聴プログラム」は, イーサネット上のパケットストリームの <tt>passwd</tt>, <tt>login</tt>, <tt>su</tt> のようなものを監視し, その後のトラフィックをログに残します. このようにして, 侵入者は破ろうとさえとしていないシステムのパスワードも得てしまいます. 平文の(暗号化されていない)パスワードは, このような攻撃に対して非常に脆弱です.  例: ホスト A は既に破られています. 攻撃者はパケット盗聴プログラムをインストールします. ホスト C からホスト B への管理者のログインを拾い出します. まず管理者が B にログインするときに, 個人のパスワードを入手します. それから, 管理者は何か問題を処理するために <tt>su</tt> を実行します. このときに, ホスト B の root のパスワードが入手できます. 後で, 管理者が誰かを他のサイトのホスト Z に <tt>telnet</tt> させます. こうして, 攻撃者はホスト Z の password/login を入手することができます.  今日では, 攻撃者はこの攻撃を行うためにシステムを破る必要などありません. ノートパソコン等を建物に持ち込み, ネットワークに繋いでしまえばよいのです.  この攻撃を防ぐには, <tt>ssh</tt> 等のパスワード認証を暗号化します. POP の場合には APOP 等を使うことで, この攻撃を防ぐことができます. (通常の POP は, パスワードを暗号化せずにネットワーク上に流すので, この攻撃に対して非常に脆弱です. )   <SECT1>システムサービスと tcp_wrappers  どんなネットワークであれ, Linux システムを接続する前にまず確認すべきことは, どのサービスを提供するかです. 提供する必要が無いサービスは無効にするべきであり, そうすることで心配の種を一つ減らすことができ, 攻撃者がセキュリティホールを探す余地も一つ減ります.  Linux でサービスを無効にするための方法は色々あります. <tt>/etc/inetd.conf</tt> ファイルを見れば, <tt>inetd</tt> 経由で提供されているサービスを確認することができます. 必要の無いサービスは, コメントアウトして(行の先頭に <tt>#</tt> を挿入します), inetd のプロセスに SIGHUP を送ることで無効にすることができます.  <tt>/etc/services</tt> ファイル内のサービスを削除 (またはコメントアウト) する方法もあります. これによりローカルのクライアントもサービスを見つけられなくなります (例えば <tt>ftp</tt> の項を削除し, そのマシンからリモートサイトへ ftp すると, "unknown service" というエラーになるでしょう). しかし, サービスの削除に伴うトラブルに見合うだけの価値はないでしょう. というのも, <tt>/etc/services</tt> からサービスを削除してもセキュリティが向上するわけではないからです. <tt>/etc/services</tt> で <tt>ftp</tt> の項目をコメントアウトしていても, ローカルのユーザが <tt>ftp</tt> を使いたければ, FTP の一般的なポート番号を使うクライアントを用意すればちゃんと動作するのですから.  有効なまま残しておくとよいサービスには以下のようなものがあります: <itemize><item><tt>ftp</tt> <item><tt>telnet</tt> (or <tt>ssh</tt>) <item>mail, such as <tt>pop-3</tt> or <tt>imap</tt> <item><tt>identd</tt> </itemize>  特定のパッケージを使わないことが分かっているならば, そのパッケージを全部削除する方法もあります. Red Hat ディストリビューションでは, <tt>rpm -e <it>パッケージ名</it></tt> というコマンドがパッケージ全体を削除するコマンドです. Debian の場合は, <tt>dpkg --remove</tt> コマンドで同様のことが実行できます.  加えて, rsh/rlogin/rcp ユーティリティ(/etc/inetd.conf から login (<tt>rlogin</tt> が使用), shell(<tt>rcp</tt> が使用), exec (<tt>rsh</tt> が使用)の項目を含む)が <tt>/etc/inetd.conf</tt> から起動されるのを無効にしたいと思うことでしょう. これらのプロトコルは非常に危険ですし, 過去にも攻撃を受ける原因となってきました.  <tt>/etc/rc.d/rc[0-9].d</tt> (Red Hat の場合. Debian では <tt>/etc/rc[0-9].d</tt>) ディレクトリをチェックし, 不要なサーバが起動されていないかどうか確認しましょう. こういったディレクトリ中のファイルは実際には <tt>/etc/rc.d/init.d</tt> ディレクトリ (Red Hat の場合. Debian では <tt>/etc/init.d</tt>) 中のファイルへのシンボリックリンクです. <tt>init.d</tt> ディレクトリ中のファイルの名前を変更すると, そのファイルに対するシンボリックリンクを無効にすることができます. 特定のランレベルのサービスだけを無効にしたい場合は, そのサービスに対応するシンボリックリンクの大文字 'S' を小文字の 's' に名称変更してください. これは以下のように行います: <tscreen><verb> root# cd /etc/rc6.d root# mv S45dhcpd s45dhcpd </verb></tscreen>  BSD スタイルの <tt>rc</tt> ファイルのシステムの場合には, 不要なプログラムは <tt>/etc/rc*</tt> から探します.  ほとんどの Linux ディストリビューションには, 全ての TCP サービスを「ラッピング(包む)」する tcp_wrappers が付いています. tcp_wrapper(<tt>tcpd</tt>)は, <tt>inetd</tt> が実際のサーバの代わりに呼び出します. <tt>tcpd</tt> はサービスを要求したホストをチェックし, サーバの起動かアクセス拒否を行います. <tt>/etc/hosts.allow</tt> ファイルを作り, そのマシンのサービスを受ける必要があるマシンだけを指定しましょう.  家からダイアルアップ接続しているユーザは, 全てを拒否する設定をお勧めします. <tt>tcpd</tt> はサービスへのアクセス失敗を記録することもできるので, 攻撃を受けた際には警告を受けることができます. 新しいサービスを追加する際には, それが TCP ベースのものなら, 必ず tcp_wrappers を使う設定にすべきです. 例えば通常のダイアルアップユーザは外部からの接続を禁止することができますが, その状態でもメールの取得やインターネットへのネットワーク接続はできます. これを行うには, <tt>/etc/hosts.allow</tt> に以下の設定を追加してください:  ALL: 127  また, 当然ながら <tt>/etc/hosts.deny</tt> も関係あります. ALL: ALL  これにより, 外部からあなたのマシンへの接続は全て禁止されますが, 内部からインターネット上のサーバへの接続は許されます.  tcp_wrappers が守れるのは <tt>inetd</tt> から実行するサービスだけであり, 他を選択する余地はほとんどないことを覚えておいてください. サービスは他にもたくさん実行されているかもしれません. <tt>netstat -ta</tt> を実行すれば, お使いのマシンで行われているサービスを全て表示することができます.   <SECT1> DNS 情報の確認  自分のネットワーク上の全てのホストに関して最新の DNS 情報を保つことは, セキュリティの向上に繋がります. 許可されていないホストがネットワークに繋がれた際には, そのホストが DNS エントリを持たないことから識別することができます. サービスの多くは正しい DNS エントリを持たないマシンからの接続を受け付けないように設定することができます.  <SECT1> <tt>identd</tt>  <tt>identd</tt> は一般的に <tt>inetd</tt> の代わりとなる小さなプログラムです. <tt>identd</tt> はどのユーザがどの TCP サービスを受けているかを常に監視し, 要求に応じてこの結果を報告します.  多くの人は <tt>identd</tt> の有益さを誤解しており, <tt>identd</tt> を無効にしたり, 外部サイトからの <tt>identd</tt> へのリクエストをブロックしたりしています. <tt>identd</tt> はリモートサイトを助けるためにあるのではありません. リモートの <tt>identd</tt> から得たデータが正しいかどうかを知る術はありません. <tt>identd</tt> のリクエストは認証を行いません.  それでは, どうして identd を使うのでしょうか? それは読者の皆さんを助けてくれるからであり, 追跡調査の際のデータになるからです. <tt>identd</tt> が悪用されていなければ, リモートサイトに TCP サービスを受けたユーザ名やユーザID を知らせることができます. リモートサイトの管理者が戻ってきて彼らのサイトが攻撃されていると言ってきた場合, 簡単にそのユーザに対して行動を起こすことができます. もし <tt>identd</tt> が動いていなければ, 大量のログを調べ, その時に誰がいたのか調べなければなりませんが, そのユーザを突き止めることは一般にとても時間がかかる作業です.  ほとんどのディストリビューションに付属している <tt>identd</tt> は一般に思われているよりも細かい設定が可能です. 特定のユーザについて <tt>identd</tt> を無効にすることができますし(<tt>.noident</tt> ファイルを作ります), <tt>identd</tt> リクエストのログを全て残すこともできますし(この設定をお勧めします), ユーザ名の代わりにユーザID や NO-USER を返すようにすることさえできます.   <SECT1>SATAN, ISS その他のネットワーク探査プログラム  マシンやネットワークのポートやサービスの探査を行うソフトウェアのパッケージはいろいろあります. SATAN や ISS, SAINT, Nessus はこの種のパッケージの中でも特に有名なものです. このソフトウェアは調査対象のマシン (あるいはネットワーク上の全ての対象マシン) の接続可能なポート全てに接続し, そのポートで提供されているサービスについて調べようとします. この情報に基づいて, サーバに対する特定の攻撃に対してマシンが脆弱であるかどうか調べることができます.  SATAN(Security Administrator's Tool for Analyzing Networks)はウェブのインタフェースを持つポート探査プログラムです. マシンあるいはネットワークに対して, light, medium, strong いずれかのチェックを行う設定ができます. SATAN を入手し, 自分のマシンやネットワークを検査し, 見つかった問題を修正するとよいでしょう. 必ず, SATAN は <url url="http://metalab.unc.edu/pub/packages/security/Satan-for-Linux/" name="metalab"> か有名 FTP/ウェブサイトから入手しましょう. 過去に, トロイの木馬が仕込まれた SATAN がネットワーク上で配布されたことがあるからです. <htmlurl url="http://www.trouble.org/~zen/satan/satan.html" name="http://www.trouble.org/~zen/satan/satan.html">. SATAN はしばらく更新されていないため, この後で説明する他のツールの方が役に立つかもしれません.  ISS (Internet Security Scanner) もポートを検査するプログラムです. ISS は SATAN よりも動作が軽いので, 大規模ネットワークに向いているでしょう. ただし, 得られる情報は SATAN の方が詳しいようです.  Abacus は, ホストベースのセキュリティと侵入者発見の機能を持つツールです. 詳しい情報については WWW 上のホームページを見てください. <htmlurl url="http://www.psionic.com/abacus" name="http://www.psionic.com/abacus/">  SAINT は SATAN の新しいバージョンです. SAINT はウェブベースであり, SATAN よりも新しい検査がたくさん追加されています. 詳しくは <htmlurl url="http://www.wwdsi.com/saint" name="http://www.wwdsi.com/saint"> を見てください.  Nessus はフリーのセキュリティ検査プログラムです. これは GTK による使いやすいグラフィカルインタフェースを持っています. また, 新しいポート探査を設定するための素晴らしいプラグイン機構を備えています. 詳しい情報については <htmlurl url="http://www.nessus.org/" name="http://www.nessus.org"> を見てください.  <sect2>ポート探査を受けたことの検出  SATAN や ISS などの探査プログラムによる探査を受けたことを警告するために設計されたツールがいくつかあります. しかし, tcp_wrappers をうまく使い, ログを定期的に見ていれば, このような探査があったことはわかります. 最低限の設定でも, SATAN は Red Hat の標準システムのログに痕跡を残します.  「見えない」ポート探査もあります. TCP ACK ビットがセットされているパケット(確立されている接続ではそうなっています)は多分, パケットフィルタリングを行う防火壁を通過するでしょう. 確立されているセッションを持たない ポートから返される RST パケットは, そのポートが生きている証拠として受け取ることができます. TCP wrappers はこれを検出できないと思います.   <SECT1> <tt>sendmail</tt>, <tt>qmail</tt> 等の MTA  ユーザに提供するサービスの中でも特に重要なものの 1 つは, メールサーバです. 残念ながら, これは攻撃に特に弱いものの 1 つでもあります. 単にその理由は, やらなければならない仕事の数が多いことと, 一般に root ユーザの権限を必要とするからです.  <tt>sendmail</tt> を使う場合には特に, 必ず最新バージョンを使うことが重要です. <tt>sendmail</tt> にはセキュリティの問題の長い長い歴史があります. いつも必ず最新バージョンを動作させましょう. <htmlurl url="http://www.sendmail.org/" name="http://www.sendmail.org">  メールを送信するだけなら sendmail を実行する必要はないことは知っておいてください. 家庭ユーザであれば, sendmail を完全に使えなくしてしまい, メールの送信には単にメールクライアントを使うということもできます. sendmail の起動ファイルから "-bd" フラグを削除しても良いでしょう. これによりメール送信のリクエストが無効になります. 言い換えれば, 今までの起動スクリプトではなく以下のコマンドを使って sendmail を実行すればよいということです: <tscreen><verb> # /usr/lib/sendmail -q15m </verb></tscreen>  これにより sendmail は, 最初に送信したときにうまく配送できなかったメールについて, 15 分ごとに送信キューをフラッシュします.  管理者の多くは sendmail を使わないで, 別のメール配送エージェントを使うようになっています. <tt>qmail</tt> への乗り換えを検討してもよいでしょう. <tt>qmail</tt> は徹底的にセキュリティに注意して設計されています. <tt>qmail</tt> は高速かつ安定, 安全です. <tt>qmail</tt> は <htmlurl url="http://www.qmail.org" name="http://www.qmail.org"> で入手することができます. 訳注: <htmlurl url="http://www.jp.qmail.org" name="http://www.jp.qmail.org"> も参考になるでしょう.  qmail の対抗馬は "postfix" です. これは tcp_wrappers 等のセキュリティ関連ツールの作者である Wietse Venema 氏が書かれたものです. 以前は vmailer と呼ばれ, IBM の支援を受けていました. これも徹底的にセキュリティに配慮して書かれたメール配送エージェントです. postfix に関するもっと詳しい情報については <htmlurl url="http://www.postfix.org/" name="http://www.postfix.org"> をご覧ください.   <SECT1> サービス妨害攻撃  「サービス妨害攻撃(Denial of Service attack, DoS attack)」は, リソースを食い潰すことにより, 正当なリクエストに応じられないようにしたり, 正当なユーザがマシンにアクセスできないようにする攻撃です.  サービス妨害攻撃は近年とても増えています. ここでは, 有名なものや最近のものをいくつか紹介します. 新しいものが常に現れるので, ここ示す例はほんの一部に過ぎない点には注意してください. 最新の情報を知るには, Linux のセキュリティ関連メーリングリストや bugtraq メーリングリストやこれらのアーカイブを読みましょう. <ITEMIZE><ITEM>  <bf>SYN Flooding</bf> - SYN flooding はネットワークでのサービス妨害攻撃です. これは TCP 接続を確立する際の手順の「抜け穴」を利用するものです. 新しい Linux カーネル(2.0.30 以降)には, SYN flooding 攻撃によりユーザがマシンやサービスにアクセスできなくなることを防ぐための設定オプションがあります. カーネルの適切な防御用オプションについては, <ref id="kernel-security" name="カーネルのセキュリティ"> の章を参照してください.  <item><bf>Pentium の "F00F" バグ</bf> -これは最近見つかったもので, 特定のアセンブリコードを純正の Intel Pentium プロセッサに送ると, マシンがリブートしてしまうというものです. この影響は, 実行している OS に関係なく Pentium プロセッサを積んでいる全てのマシンが受けます(互換 CPU や Pentium Pro, Pentium II では問題ありません). Linux 2.0.32 以降には, このバグに対する対処が入っているので, マシンが止まってしまうことはありません. カーネル 2.0.33 での対処はさらに改良されており, カーネル 2.0.32 よりもお勧めできます. 現在 Pentium を使っているのなら, カーネルのバージョンをすぐに上げましょう! <ITEM>  <bf>Ping Flooding</bf> - Ping flooding は単純な力任せのサービス妨害攻撃です. 攻撃者は対象となるマシンに ICMP パケットの「洪水(flood)」を送ります. 攻撃する側のマシンが攻撃を受ける側のマシンより広いバンド幅を持っていた場合, 攻撃を受けたマシンはネットワークに何も送れなくなってしまいます. この攻撃の一種である "smurfing 攻撃" では, あるホストに対して, あなたのマシンの IP アドレスを返答先とした ICMP パケットを送り, ばれないように洪水を送ります. "smurf" 攻撃に関する情報は <htmlurl url="http://www.quadrunner.com/~chuegen/smurf.txt" name="http://www.quadrunner.com/~chuegen/smurf.txt"> で詳しく調べることができます.  ping flooding 攻撃を受けた場合は, <tt>tcpdump</tt> などのツールを使ってどこからパケットが来たのか(あるいは来たように見えるのか)を調べ, 読者の皆さんが接続しているプロバイダにこのデータに基づいて相談しましょう. ping flood 攻撃はルータのレベルや防火壁の利用で簡単に止めることができます. <ITEM>  <bf>Ping o' Death</bf> - Ping o' Death 攻撃は, ICMP ECHO REQUEST パケットを格納するためのカーネルのデータ構造体よりも大きい ICMP ECHO REQUEST パケットを送るものです. 巨大な(65,510 バイト) "ping" パケット 1 つを送っただけで多くのシステムがハングしたり, クラッシュすることさえあるため, この問題はそのまま "Ping o' Death" という名前を授けられました. この問題はずっと前に修正されているので, 現在は心配の必要は全くありません. <ITEM>  <bf>Teardrop / New Tear</bf> - ごく最近の攻撃で, Linux と Windows プラットフォームの IP フラグメンテーションのバグを利用したものです. これに対する修正はカーネルのバージョン 2.0.33 で行われており, この修正を有効にするためにコンパイル時のオプションを選択する必要はありません. 見たところ, Linux は 'newtear' 攻撃は受け付けないようです. </ITEMIZE>  ほとんどの攻撃に関するコードおよびそのコードの動作原理に関する突っ込んだ説明は, <htmlurl url="http://www.rootshell.com" name="http://www.rootshell.com"> の検索エンジンを使って調べることができます.   <SECT1> NFS (Network File System) のセキュリティ  NFS は大変広く使われているファイル共有プロトコルです. <tt>nfsd</tt> と <tt>mountd</tt> が動作しているサーバマシンは, カーネルに NFS ファイルシステムのサポートが組み込まれている他のマシン(NFS クライアント機能をサポートしていれば Linux でなくても構いません)にファイルシステム全体を「エクスポート」することができます. <tt>mountd</tt> は <tt>/etc/mtab</tt> に記録されているマウントされているファイルシステムを監視しています. これらのファイルシステムは <tt>showmount</tt> コマンドで表示することができます.  多くのサイトでは, ユーザのホームディレクトリを提供するために NFS を用いており, LAN のどのマシンにログインした場合にも同じホームディレクトリを使うことができます.  ファイルシステムをエクスポートする時には, 少しだけセキュリティをかけることができます. <tt>nfsd</tt> にはリモートの root ユーザ(ユーザID = 0) を nobody ユーザとして扱わせ, エクスポートしたファイル全体にはアクセスできないように設定できます. しかし, 個々のユーザは自分の(あるいは少なくとも同じユーザ ID の)ファイルにはアクセスできるので, ローカルのスーパーユーザはそのユーザとしてログインするか <tt>su</tt> を行えば, そのユーザのファイル全てにアクセスすることができます. つまり, この方法は読者の皆さんのリモートファイルシステムをマウントできる攻撃者に対してはちょっとした妨害にしかなりません.  NFS を使わなければならない場合は, 本当に必要なマシンだけにエクスポートすることを徹底しましょう. ルートディレクトリ以下全部をエクスポートするようなことは絶対に行ってはなりません. エクスポートの必要があるディレクトリだけをエクスポートしましょう.  NFS に関する詳しい情報については NFS HOWTO を参照してください. これは <htmlurl url="http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html" name="http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html"> にあります.   <SECT1> NIS (Network Information service) (かつての YP)  NIS (かつての YP) は, 多数のマシンに情報を配布するための仕組みです. NIS マスタは情報テーブルを保持し, これを NIS マップファイルに変換します. このマップはネットワーク上で得ることができるので, NIS クライアントはログイン名, パスワード, ホームディレクトリ, シェルの情報(標準的な <tt>/etc/passwd</tt> ファイルに書かれている全ての情報)を得ることができます. これにより, パスワードを一度変えるだけで, NIS ドメイン上の全てのマシンで新しい設定を有効にできます.  NIS は全く安全ではありません. そもそも安全にするつもりもなく, 手軽で便利に使うことが目的でした. NIS ドメインの名前を推測できれば誰でも(ネットワークのどこからでも)パスワードファイルのコピーを得ることができ, "Crack" や "John the Ripper" 等を使ってパスワードを破ることができます. また, なりすまし等の汚いトリックも色々可能です. NIS を使わなければならない場合には, この危険性は知っておいてください.  NIS+ と呼ばれる NIS よりもずっと安全な代替策があります. 詳しくは NIS HOWTO を参照してください: (<htmlurl url="http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html" name="http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html">).   <SECT1> 防火壁(ファイアウォール)  防火壁は, ローカルのネットワークに出入りできる情報を制御するための仕組みです. 普通, 防火壁になるホストはインターネットとローカルの LAN に接続され, あなたの LAN からインターネットへのアクセスは防火壁を通り抜けるしかないようになっています. このように, 防火壁はインターネットと LAN の行き来を制御します.  防火壁にはたくさんの種類があり, その設定方法もたくさんあります. Linux はかなり良い防火壁になります. 防火壁のコードは 2.0 以降のカーネルに組み込むことができます. カーネル 2.0 にはユーザ空間で動作する <tt>ipfwadm</tt>, カーネル 2.2 には <tt>ipchains</tt> というツールを使って, 許可するネットワークトラフィックの種類をシステムの動作中に変更することができます. 特定のネットワークトラフィックのログを取ることもできます.  防火壁はネットワークを守るために大変便利かつ重要な技術です. ただし, 防火壁があるからといって, その内部のマシンのセキュリティが不必要なわけでは決してありません. これは極めて重大な誤りです. 防火壁と Linux についての詳しい情報については, metalab の最新のアーカイブにある <tt>Firewall-HOWTO</tt> がとても良い資料なので, これを参照してください (<htmlurl url="http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html" name="http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html">).  更に IP-Masquerade mini-howto にも情報があります (<htmlurl url="http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html" name="http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html">).  <tt>ipfwadm</tt> (防火壁の設定を変更するためのツール) に関する詳しい情報は以下のホームページにあります: <htmlurl url="http://www.xos.nl/linux/ipfwadm/" name="http://www.xos.nl/linux/ipfwadm/">  防火壁に関する経験をお持ちでないのに, 単なるセキュリティ方針だけでなく防火壁そのものを設定する予定であれば, O'Reilly and Associates 社の書籍「Firewalls」またはその他のオンラインドキュメントを必ず読んでください. この書籍の詳しい情報については <htmlurl url="http://www.ora.com/" name="http://www.ora.com/"> をご覧ください. 国立標準技術研究所 (The National Institute of Standards and Technology) も防火壁に関する素晴らしいドキュメントをまとめています. 日付は 1995 年となっていますが, 現在でも非常に役立ちます. これは <htmlurl url="http://csrc.nist.gov/nistpubs/800-10/main.html" name="http://csrc.nist.gov/nistpubs/800-10/main.html"> にあります. ほかには: <ITEMIZE>  <ITEM> The Freefire Project -- フリーに利用できる防火壁用ツールのリストです. <htmlurl url="http://sites.inka.de/sites/lina/freefire-l/index_en.html" name="http://sites.inka.de/sites/lina/freefire-l/index_en.html"> にあります.  <ITEM> SunWorld Firewall Design -- O'Reilly の書籍の著者が書いたドキュメントであり, 各種の防火壁を簡単に紹介しています. <htmlurl url="http://www.sunworld.com/swol-01-1996/swol-01-firewall.html" name="http://www.sunworld.com/swol-01-1996/swol-01-firewall.html"> にあります.  <ITEM>Mason -- Linux 向けの防火壁自動構築ツールです. あなたがネットワークでやりたいことをやれば, それを学習する防火壁スクリプトです! 詳しくは: <htmlurl url="http://www.pobox.com/~wstearns/mason/" name="http://www.pobox.com/~wstearns/mason/"> をどうぞ. </ITEMIZE>   <SECT1> IP Chains - Linux カーネル 2.2.x における防火壁の構築  Linux の IP Firewalling Chains はカーネル 2.0 の防火壁用のコードをカーネル 2.2 用に更新したものです. これは以前の実装よりもずっと多くの機能を持っています. 以下に列挙します: <itemize>  <item> より柔軟なパケット操作  <item> より複雑なアカウンティング  <item> 非常に細かい操作ができ, 簡単なポリシー変更  <item> フラグメントの明示的なブロックや拒否など  <item> 怪しいパケットの記録  <item> ICMP/TCP/UDP 以外のプロトコルの処理 </itemize>  現在, カーネル 2.0 で <tt>ipfwadm</tt> をお使いであれば, <tt>ipfwadm</tt> のコマンド形式を <tt>ipchains</tt> で使える形式に変換するスクリプトがあります.  詳しくは IP Chains HOWTO をお読みください. これは <htmlurl url="http://www.rustcorp.com/linux/ipchains/HOWTO.html" name="http://www.rustcorp.com/linux/ipchains/HOWTO.html"> にあります.   <SECT1> 仮想プライベートネットワーク(VPN, Virtual Private Network)  VPN は何らかの既存ネットワークの上に「仮想的な」ネットワークを確立する手法です. この仮想ネットワークは, 暗号化されていたり, ネットワークに加わっている何らかの既知の存在との間のトラフィックしか通さないようになっていたりします. VPN は, 家で作業している人と会社の内部ネットワークをインターネット経由で接続するためにもよく使われます.  Linux の IP マスカレードを行う防火壁を使っており, かつ MS の PPTP (Microsoft 製の VPN 接続のための製品) パケットを通過させる必要がある場合には, これを行うためのカーネルパッチを使ってください. <htmlurl url="ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html" name="ip-masq-vpn"> をご覧ください.  Linux で利用できる VPN のソリューションはいくつかあります: <ITEMIZE>  <ITEM> vpnd. <htmlurl url="http://sunsite.auc.dk/vpnd/" name="http://sunsite.auc.dk/vpnd/"> をご覧ください.  <ITEM> Free S/Wan. <htmlurl url="http://www.xs4all.nl/~freeswan/" name="http://www.xs4all.nl/~freeswan/"> をご覧ください.  <ITEM> ssh を使って VPN を構築することができます. 詳しくは VPN mini-howto をご覧ください.  <ITEM> vps (virtual private server). <htmlurl url="http://www.strongcrypto.com" name="http://www.strongcrypto.com"> をご覧ください. </ITEMIZE>  情報ポインタや詳しい情報については, IPSEC の章もご覧ください.   <SECT> セキュリティの準備 (ネットワークに接続する前に)<label id="secure-prep">  さて, システムのチェックが終わり, 安全かつ使いやすいものになり, ネットワークに接続する準備ができました. ここでは, 実際に侵入された場合に備えての準備のためにすべきことをいくつか挙げます. これを行っておけば, 侵入者をすぐに追い払い, システムを復旧, 稼働させることができます.  <SECT1> マシン全体のバックアップの作成   バックアップの方法や保存媒体についての議論は本ドキュメントの範囲外ですが, バックアップとセキュリティについて簡単に触れておきます:  1 つのパーティションに入っているデータが 650MB 以下であれば, CD-R にデータをコピーすると良いでしょう(改竄が困難ですし, きちんと保管すれば長期間保存できます). テープなどの読み書き可能なメディアは, バックアップが終わり次第書き込み禁止にし, 改竄できないようにすべきです. バックアップはオンラインでアクセスできない場所に置きましょう. 良いバックアップを作っておけば, 何かあった時にシステムをその時点に復旧させることができます.  <SECT1> 適切なバックアップ計画の決定   6 本のテープを使い回すと管理が楽です. 4 本のテープを平日に使い, 残りの 2 本は 1 本ずつ金曜日に隔週で使います. 毎日インクリメンタルバックアップを実行し, 金曜日のテープ(適切な方)にはフルバックアップを取ります. 特に重要な変更がシステムにあった場合や, 重要なデータを加えた場合には, バックアップを行うのが適切でしょう.  <SECT1> RPM ファイルデータベースや Debian のファイルデータベースのバックアップ   システムに侵入された時に RPM データベースを <tt>tripwire</tt> 代わりに使うことができますが, これはデータベースが改竄されていないことが確実な場合だけです. ですから, RPM データベースをフロッピーディスクにコピーしておき, コンピュータから取り出して保管しておきましょう. Debian ディストリビューションについても同様です.  ファイル <tt>/var/lib/rpm/fileindex.rpm</tt> や <tt>/var/lib/rpm/packages.rpm</tt> は大抵フロッピーディスク 1 枚には収まらないでしょう. ですが圧縮すれば別々のフロッピーディスクに収めることができるはずです.  仮にシステムに侵入されてしまったときには, 次のコマンドを実行してシステムの各ファイルを検査します: <tscreen><verb> root# rpm -Va </verb></tscreen>  <tt>rpm</tt> のオンラインマニュアルを参照すれば, 出力を少なくするオプションに関する説明があります. RPM のバイナリ自体が改竄されていないことも確認すべきである点は忘れないでください.  この方法を使う場合には, 新しい RPM パッケージを追加するごとに RPM データベースのバックアップを取らなければなりません. この方法を使うかどうかは利点と欠点を考え合わせて決めてください.   <SECT1> システムログの監視<label id="logs">  <tt>syslog</tt> から得られる情報が改竄されないようにするのはとても重要です. まず, <tt>/var/log</tt> を特定のユーザしか読み書きできないようにしておきましょう.  ログに出力されていること, 特に <tt>auth</tt> の項目には目を通しましょう. 例えばログイン失敗が続いていると, これは侵入の試みの痕跡かもしれません.  ログがどこにあるかはディストリビューションによって異なります. Red Hat のように "Linux Filesystem Standard" に準拠しているシステムであれば, <tt>/var/log</tt> に <tt>messages</tt> ファイルや <tt>mail.log</tt> 等があるはずです.  自分が使っているディストリビューションがどこにログを出力しているのかは, <tt>/etc/syslog.conf</tt> ファイルを見ればわかります. これは <tt>syslogd</tt> (システムのログを取るためのデーモン)に, メッセージの出力の仕方を指示するファイルです.  ログが長くなり過ぎないようにし, 検査もしやすくするために, ログをローテートさせるスクリプトやデーモンを設定することもできます. 最近の Red Hat ディストリビューションでは <tt>logrotate</tt> パッケージを調べてみましょう. 他のディストリビューションにも同様の仕組みがあるはずです.  ログファイルが改竄されてしまっても, いつ, どんな種類の改竄が行われたのかを調べましょう. 長期間記録されていない項目はありませんか? (もしあるならば)バックアップのテープで, 改竄されていないログをチェックすることもできます.  侵入の痕跡を消すため, 侵入者は一般的にログファイルを改竄しますが, それでも思わぬところでチェックに引っかかることもあります. 入口を見つけようとしていたり, root 権限を得るためプログラムを不正使用しようとしている侵入者に気づくかもしれません. 侵入者がログを改竄するより前に, ログを見ましょう.  <tt>su</tt> によるユーザ変更やログインの試み等のユーザアカウント情報を含む <tt>auth</tt> の項目は, 他のログから分離すべきでしょう.  可能ならば, 重要なデータのコピーを安全なシステムに送るように <tt>syslog</tt> を設定しましょう. これにより, login/su/ftp 等の記録を消して侵入者が足跡を消してしまうことを防げます. <tt>syslog.conf</tt> のオンラインマニュアルの <tt>@</tt> オプションを参照してください.  高機能版の <tt>syslogd</tt> がいくつかあります. 例えば <htmlurl url="http://www.core-sdi.com/ssyslog/" name="http://www.core-sdi.com/ssyslog/"> にある Secure Syslog をご覧ください. Secure Syslog を使うと syslog のエントリを暗号化して誰も改竄できないようにします.  別の高機能 <tt>syslogd</tt> としては <htmlurl url="http://www.balabit.hu/products/syslog-ng.html" name="syslog-ng"> があります. これを用いるとログの記録をより柔軟に行うことができ, またリモートの syslog のストリームを改竄できないようにします.  最後になりますが, 誰も読んでいないようなログは役に立ちません. 適当に間隔を取ってログを読み, いつもはどんな感じであるのかを感覚的に知っておきましょう. そうしておけば, 異常があった場合にすぐに見つけることができます.  <SECT1> システム更新パッケージの適用   ほとんどのユーザは Linux を CD-ROM からインストールします. しかし, セキュリティのためのシステム修正は速いペースで行われているので, 新しい (修正済みの)プログラムが常にリリースされています. マシンをネットワークに接続する前には, お使いのディストリビューションの FTP サイトをチェックし, インストールに使った CD-ROM より新しいパッケージを全て手に入れましょう. これらのパッケージにはセキュリティ関連の重要な修正が入っていることが多いので, これをインストールするのは良い考えです.   <SECT> システムに侵入された場合や現在侵入されている場合の対応<label id="after-breakin">  本ドキュメント(あるいは他の)のアドバイスに従っていて, システムへの侵入を発見した場合にはどうすべきでしょうか? まず最初にすべきことは, 平静を保つことです. あわてて行動すると, 侵入者にやられるよりも悲惨なことになるかもしれません.   <SECT1> セキュリティが破られている最中  セキュリティが破られている最中であることに気づくと, 緊張する仕事を強いられることになるでしょう. あなたがどのように対処するかは, 重大な意味を持ちうるからです.  それが物理的な攻撃であるのなら, あなたは家や会社, 研究室に何者か侵入したことに気づいたということなのでしょう. まずは, このことをその場所の責任者に知らせるべきです. 研究室ならば, 誰かがケースを開けようとしていたり, マシンをリブートしようとしているのを見つけたのかもしれません. この場合には, あなたの権限と職務手順に基づいて, 相手を止めるか警備員に連絡することになるでしょう.  ローカルのユーザがセキュリティを破ろうとしているのを見つけた場合には, まずは本当にその本人なのかどうか確認しましょう. その人がログインしてきている元のサイトを調べましょう. そのサイトはその人が普段ログインしてくるところですか? 違うのならば, 非ネットワーク的な手段で連絡を取りましょう. 例えば, その人のオフィスや家に電話したり直接赴いてから話をするのです. その人が自分がやったことを認めたら, 何をしようとしていたのか説明させたり, それをやめるように伝えます. 何もしていないとか, 全く身に覚えが無いと言われた場合には, この事件は更に調査が必要でしょう. 告発を行う前には, まず事件を調べて多くの情報を集めましょう.  ネットワークでの攻撃を見つけた場合には, まずは(可能ならば)ネットワークへの接続を切り離します. モデム接続ならばモデムケーブルを抜き, イーサネット接続ならばイーサネットケーブルを抜きましょう. これにより, より大きな被害を防ぐことができますし, 相手側にも発見に気づかせず, ネットワークの問題だと思わせることができるかもしれません.  ネットワーク接続を切り離せない場合(忙しいサイトや, マシンを物理的に操作できない場合)には, 次善の策として, <tt>tcp_wrappers</tt> や <tt>ipfwadm</tt> のようなツールを使って侵入者のサイトからのアクセスを拒否しましょう.  侵入者と同じサイトのユーザを全て拒否することができない場合は, ユーザアカウントをロックすべきです. ユーザアカウントをロックするのは容易でないことには注意してください. <tt>.rhosts</tt> ファイル, FTP でのアクセス, 裏口になり得るホストには気を付けてください.  以上の処置(ネットワークの切断, 攻撃者のサイトからのアクセス拒否, アカウントの停止)の後は, これらのユーザのプロセスを全て止め, ログアウトさせます.  攻撃者は戻ってこようとするでしょうから, その後しばらくは自分のサイトを監視すべきです. おそらく, 別のアカウントや別のネットワークアドレスを使ってくるでしょう.   <SECT1> 既にセキュリティが破られてしまった場合  既にシステムに侵入されてしまったことに気づいた場合や, 侵入に気づいて (願わくば)侵入者をシステムから追い出した場合にはどうすればいいでしょうか?   <SECT2> セキュリティの穴を塞ぐ  攻撃者がシステムに侵入した方法を調べることができたら, 今度はその穴を塞がなければなりません. 例えば, そのユーザがログインする直前にいくつか FTP のエントリがあったとします. その場合には FTP のサービスを停止し, 新しいバージョンのサーバが出ていないか, あるいはセキュリティ関係のメーリングリストに修正方法が投稿されていないかを調べましょう.  全てのログファイルを調べ, セキュリティ関係のメーリングリストやウェブページを調べ, 修正可能な新しい一般的な弱点が出ていないか調べます. Caldela のセキュリティ修正は <htmlurl url="http://www.caldera.com/tech-ref/security/" name="http://www.caldera.com/tech-ref/security/"> にあります. Red Hat はまだセキュリティ修正とバグ修正を分離していませんが, ディストリビューションの訂正は <htmlurl url="http://www.redhat.com/errata" name="http://www.redhat.com/errata"> にあります.  Debian にはセキュリティのためのメーリングリストと WWW ページがあります. 詳しくは <htmlurl url="http://www.debian.org/security/" name="http://www.debian.org/security/"> を見てください.  あるベンダがセキュリティ更新パッケージをリリースしていれば, ほぼ確実に他の Linux ベンダもセキュリティ更新パッケージを出しているでしょう.  現在はセキュリティ監査を行うプロジェクトがあります. このプロジェクトは, ユーザ空間で動作するユーティリティを組織的に全て検査して, セキュリティ的な弱点やオーバーフローの可能性がある部分を探す作業を行っています. このプロジェクトによるアナウンスを以下に引用します:  <quote> 「我々は Linux 関連のソースコードの組織的な監査を行って OpenBSD と同じくらい安全にしようとしています. 我々は既にいくつかの問題を明らかにして (そして修正して)いますが, まだまだ助力が必要です. このメーリングリストは誰でも投稿できますし, セキュリティ関連の一般的な議論にも役立つリソースです. このメーリングリストのアドレスは security-audit@ferret.lmh.ox.ac.uk です. 購読するには security-audit-subscribe@ferret.lmh.ox.ac.uk 宛に空メールを送ってください」 </quote>  攻撃者を締め出さなければ, 彼らはまた戻ってくるでしょう. あなたのマシンに戻ってくるだけでなく, 同じ LAN にある他のマシンにも来るかもしれません. 彼らがパケット盗聴プログラムを実行していたら, 大抵, 他のマシンにもアクセスできるようになっていることでしょう.   <SECT2> 被害の見積り  まず被害の見積りを行います. 何が壊されたのでしょうか? <tt>Tripwire</tt> のようなシステムの完全性をチェックするプログラムを実行していれば, なにがやられたのか調べる助けとなるはずです. さもなくば, 重要なデータを全て個別に確認しなければならないでしょう.  最近は Linux のシステムのインストールが簡単になったので, 設定ファイルを保存しておいてからディスクをフォーマットし直し, 再インストール, ユーザのファイルと設定ファイルを書き戻すという手順を考えてみてもよいでしょう. こうすれば, 新しくてきれいなシステムであることを保証できます. 破られたシステムからファイルのバックアップを行わなければならない場合は, バイナリを書き戻す時には特に注意しましょう. 侵入者がトロイの木馬を置いているかもしれないからです.  侵入者に root 権限を奪われた場合には, 再インストールも必須だと考えてください. 加えて, 証拠を残しておきたいと思うでしょうから, 予備のディスクを金庫に保管しておくことも無駄ではないかもしれません.  その後は, どれだけ前にやられたのか, そして壊された成果はバックアップに入っているのかどうかを心配しなければなりません. できるだけ新しいバックアップを使いましょう.   <SECT2> バックアップ, バックアップ, バックアップ!  セキュリティの問題において, 定期的なバックアップは大変貴重なものです. システムが破壊された場合, 必要なデータをバックアップから書き戻すことができます. もちろん攻撃者にとって価値のあるデータもありますから, 彼らはデータを破壊するだけでなく, 盗んでしまうかもしれません. それでも最低限こちら側にデータだけは残ります.  改竄されたファイルをバックアップから書き戻す前には, 過去に亙って複数のバックアップを必ず調べましょう. 侵入者がずっと前からファイルを壊しているかもしれないし, 壊されたファイルの正しいバックアップを取っているかもしれません!  もちろん, バックアップにまつわるセキュリティの問題もたくさんあります. バックアップは安全な場所に保管しましょう. 誰がバックアップに触れるのかを知っておきましょう. (もし攻撃者がバックアップを手に入れてしまったら, 知らないうちにあなたの持つ全てのデータにアクセスされてしまいます. )   <SECT2> 侵入者を突き止める  さて, 侵入者を締め出して, システムを復旧させましたが, まだ全ては終わっていません. 侵入者が捕まることはまずありませんが, 攻撃を受けたことは報告しておくべきです.  あなたのシステムに攻撃を行った攻撃者のサイトの管理者の連絡先に, 攻撃を受けたことを報告しましょう. この連絡先は <tt>whois</tt> コマンドか, InterNIC のデータベースで調べることができます. 適切なログのエントリと日時を相手にメールで送りましょう. 他にもわかっている侵入者の特徴があれば, それも知らせましょう. メールを送った後に (気になるなら) 電話をすべきです. その管理者があなたのサイトへの攻撃者に気づいたら, 今度はこの管理者が, 攻撃者がやってきているサイトの管理者に話ができるかもしれません.  腕の立つクラッカーは, クラックしたシステムを間にいくつか挟んで攻撃してくることがよくあります. その経路には自分達がシステムを破られたことさえ知らないサイトも(たくさん)あります. ですから, クラッカーの本拠地を追跡して突き止めることは困難です. 話をした管理者が役に立たなくても, その辺りの配慮をしてあげましょう.  また, 自分が所属しているセキュリティ関連団体(<url url="http://www.cert.org/" name="CERT"> 等)や, お使いの Linux システムのベンダにも報告すべきです.   <SECT> セキュリティ関係の情報源<label id="sources">  UNIX 一般のセキュリティと Linux 特定のセキュリティのいずれについても, 良いサイトがたくさんあります. セキュリティに関するメーリングリストを 1 つ(あるいはそれ以上)購読し, セキュリティに関する修正を常に最新の状態にしておくことが重要です. 以下に挙げるリストは量こそ少ないですが, とても有益なものです.   <SECT1> FTP サイト<label id="ftpsites">  CERT は Computer Emergency Response Team の略です. CERT は最新の攻撃やその対処についての警告を発行しています. 詳しくは <htmlurl url="ftp://ftp.cert.org" name="cert.org"> を見てください.  ZEDZ (元は Replay と呼ばれていました) (<htmlurl url="http://www.zedz.net" name="http://www.zedz.net">) にはセキュリティ関連プログラムの大きなアーカイブがあります. このサイトはアメリカ合衆国国内にはありませんので, アメリカの馬鹿げた暗号規制に従う必要はありません.  Matt Blaze 氏は CFS の作者であり, セキュリティの大家です. Matt 氏のアーカイブが <url url="ftp://ftp.research.att.com/pub/mab" name="ftp://ftp.research.att.com/pub/mab"> にあります.  <tt>tue.nl</tt> はオランダにある大きなセキュリティ関係 FTP サイトです. <htmlurl url="ftp://ftp.win.tue.nl/pub/security/" name="ftp.win.tue.nl">   <SECT1>ウェブサイト<label id="websites"> <ITEMIZE> <ITEM>  The Hacker FAQ はハッカーに関する FAQ です: <htmlurl url="http://www.solon.com/~seebs/faqs/hacker.html" name="The Hacker FAQ"> <ITEM>  COAST アーカイブには UNIX のセキュリティ関連プログラムと情報がたくさんあります: <htmlurl url="http://www.cs.purdue.edu/coast/" name="COAST">  <ITEM> SuSe によるセキュリティのページ: <htmlurl url="http://www.suse.de/security/" name="http://www.suse.de/security/"> <ITEM>  Rootshell.com はシステムの問題を知るのに大変役立つサイトで, 現在はクラッカーにも使われています: <htmlurl url="http://www.rootshell.com/" name="http://www.rootshell.com/"> <ITEM>  BUGTRAQ はセキュリティに関する勧告を発行しています: <htmlurl url="http://www.netspace.org/lsv-archive/bugtraq.html" name="BUGTRAQ archives"> <ITEM>  CERT (the Computer Emergency Response Team) は UNIX に対する一般的な攻撃に関する勧告を発行しています: <htmlurl url="http://www.cert.org/" name="CERT のホームページ"> 訳注: 日本では <htmlurl url="http://www.jpcert.or.jp/" name="JPCERT (コンピュータ緊急対応センター)"> が活動しています. <ITEM>  Dan Farmer 氏は SATAN 等のセキュリティ関連ツールの作者です. 氏のホームページにはセキュリティに関する興味深い調査結果やセキュリティ関連ツールがあります: <htmlurl url="http://www.trouble.org" name="Dan Farmers trouble.org"> <ITEM>  The linux security WWW は Linux のセキュリティ情報を調べるのに便利なサイトです: <htmlurl url="http://www.aoy.com/Linux/Security/" name="Linux Security WWW"> <ITEM>  Infilsec には特定のプラットフォームのセキュリティ的な弱点を調べることができる検索エンジン(vulnerability engine)があります: <htmlurl url="http://www.infilsec.com/vulnerabilities/" name="http://www.infilsec.com/vulnerabilities/"> <ITEM>  CIAC は一般的な問題について定期的にセキュリティ bulitin を送ってくれます: <htmlurl url="http://ciac.llnl.gov/cgi-bin/index/bulletins" name="http://ciac.llnl.gov/cgi-bin/index/bulletins"> <ITEM>  Linux Pluggable Authentication Modules(差し替え可能な認証モジュール)の良い入門が <htmlurl url="http://www.kernel.org/pub/linux/libs/pam/" name="http://www.kernel.org/pub/linux/libs/pam/"> にあります. <ITEM>  Debian プロジェクトにはセキュリティ関係の修正パッケージと情報を載せた WWW ページがあります (<htmlurl url="http://www.debian.org/security/" name="http://www.debian.org/security/">).  <ITEM> WWW Security FAQ: これは Lincoln Stein 氏が書かれた文書で, WWW のセキュリティに関する素晴らしい参考文献です. <htmlurl url="http://www.w3.org/Security/Faq/www-security-faq.html" name="http://www.w3.org/Security/Faq/www-security-faq.html"> をご覧ください. </ITEMIZE>   <SECT1>メーリングリスト  Bugtraq: Bugtraq を購読するには, listserv@netspace.org 宛に本文が <verb>subscribe bugtraq</verb> であるメールを送ります. (メーリングリストのアーカイブについては, 前述のリンクを参照してください)  CIAC: majordomo@tholia.llnl.gov 宛に, 本文(サブジェクトではありません)が <verb>subscribe ciac-bulletin</verb> であるメールを送ります.  Red Hat はたくさんのメーリングリストを運営していますが, その中でも特に重要なのが redhat-announce メーリングリストです. セキュリティ (や, その他) の修正パッケージに関する情報が出るとすぐにここに投稿されます. Subject が <verb>Subscribe</verb> であるメールを redhat-announce-list-request@redhat.com 宛に送ってください. より詳しい情報や記事のアーカイブについては <htmlurl url="http://www.redhat.com/mailing-lists/redhat-announce-list/" name="http://www.redhat.com/mailing-lists/redhat-announce-list/"> をご覧ください.  Debian プロジェクトもセキュリティ更新パッケージを扱うメーリングリストを運営しています. 詳しくは <htmlurl url="http://www.debian.org/security/" name="http://www.debian.org/security/"> をご覧ください.   <SECT1>書籍  セキュリティ関係の良書はたくさんあります. この章ではその一部を紹介します. セキュリティ専門の本に加え, システム管理の本の多くでもセキュリティの話題を扱っています. 訳注: これらの本の和訳があればぜひお知らせください. Building Internet Firewalls By D. Brent Chapman & Elizabeth D. Zwicky 1st Edition September 1995 ISBN: 1-56592-124-0 訳注: 和訳は 歌代和正監訳「ファイアウォールの構築～インターネットセキュリティ～」 株式会社オライリージャパン, 1996 ISBN: 4-900900-03-6 紹介ページ: http://www.oreilly.co.jp/BOOK/firewall/ です. Practical UNIX & Internet Security, 2nd Edition By Simson Garfinkel & Gene Spafford 2nd Edition April 1996 ISBN: 1-56592-148-8 訳注: 和訳は 山口英監訳「UNIX & インターネットセキュリティ」 株式会社オライリージャパン, 1998 ISBN: 4-900900-38-9 紹介ページ: http://www.oreilly.co.jp/BOOK/puis/ です. Computer Security Basics By Deborah Russell & G.T. Gangemi, Sr. 1st Edition July 1991 ISBN: 0-937175-71-4 Linux Network Administrator's Guide By Olaf Kirch 1st Edition January 1995 ISBN: 1-56592-087-2 PGP: Pretty Good Privacy By Simson Garfinkel 1st Edition December 1994 ISBN: 1-56592-098-8 訳注: 和訳は 山本和彦監訳「PGP 暗号メールと電子署名」 株式会社オライリージャパン, 1996 ISBN: 4-900900-02-8 です. Computer Crime A Crimefighter's Handbook By David Icove, Karl Seger & William VonStorch (Consulting Editor Eugene H. Spafford) 1st Edition August 1995 ISBN: 1-56592-086-4 Linux Security By John S. Flowers New Riders; ISBN: 0735700354 March 1999 Maximum Linux Security : A Hacker's Guide to Protecting Your Linux Server and Network Anonymous Paperback - 829 pages Sams; ISBN: 0672313413 July 1999 訳注: 和訳は トップスタジオ訳「Linux版クラッカー迎撃完全ガイド」 株式会社インプレス, 2000 ISBN: 4844313606 です. Intrusion Detection By Terry Escamilla Paperback - 416 pages (September 1998) John Wiley and Sons; ISBN: 0471290009 Fighting Computer Crime Donn Parker Paperback - 526 pages (September 1998) John Wiley and Sons; ISBN: 0471163783  <SECT> 用語解説  <ITEMIZE>  <ITEM><bf>認証(authentication):</bf> 受け取ったデータが送られたものと同じかどうか調べる過程や, データの送り主が本当に実際に本人であるかどうかを確認すること.  <ITEM><bf>要塞ホスト(bastion host):</bf>通常はインターネットに接続したり, 内部ネットワークでユーザがアクセスする中心ホスト. 何も備えがないシステムは攻撃に対して脆弱であるため, 高度に安全にしなければならない. この名前は中世の城砦の外壁の高度な防御工事に由来する. 要塞の監督は守備の要であり, 通常は頑丈な壁があり, 騎兵隊の詰所があり, 攻撃者を撃退するための油や熱湯を入れる桶がある.  <ITEM><bf>バッファオーバーフロー(buffer overflow):</bf> 通常のプログラムの書き方では, 「十分長いバッファ」を確保されず, バッファのオーバーフローのチェックも行われないことがある. このようなバッファがオーバーフローすると, プログラム(デーモンや setuid されたプログラム)を動作中に他の目的に悪用することが可能である. 一般的に, これはスタック上の関数の戻り先を他の場所に上書きすることで行われる.  <ITEM><bf>サービス妨害攻撃(denial of service):</bf> サービス妨害攻撃は, 攻撃者が本来の目的とは異なる使い方でコンピュータの資源を食い潰し, 通常のネットワーク資源の利用を妨害する攻撃である.  <ITEM><bf>dual-homed host:</bf> 少なくとも 2 つのネットワークインタフェースを持つ, 汎用のコンピュータシステム.  <ITEM><bf>防火壁(firewall):</bf> 保護されたネットワークとインターネット間, あるいは異なるネットワーク同士の間のアクセスを制限するコンポーネントあるいはコンポーネントの集合.  <ITEM><bf>ホスト(host):</bf> ネットワークに接続されたコンピュータ  <ITEM><bf>IP 詐称(IP spoofing):</bf> IP 詐称は複数の要素からなる, 技術的に複雑な攻撃である. 信頼関係に基づく計算機の利用ををぺてんにかけ, あなたは本当にあなたなのか? という疑心暗鬼に追い込むというセキュリティ攻撃となる. daemon9, route, infinity によって書かれた詳しいペーパーが Phrack Magazine の第 7 巻, 第 48 号にある.  <ITEM><bf>否認防止性(non-repudiation):</bf> 送り主がデータを送ったことを後から否定しようとしても, その送り主が実際にデータを送ったことをデータを受け取った側が証明できるという性質.  <ITEM><bf>パケット(packet):</bf> インターネットにおける通信の基本単位.  <ITEM><bf>パケットフィルタリング(packet filtering:)</bf> ネットワークを出入りするデータの流れを選択的に制御すること. パケットフィルタは, 通常は外部ネットワークとの間のルーティングの時に, パケットの通行を許可あるいは禁止する(普通はインターネットと内部ネットワークの間). パケットフィルタリングを行うためには, 許可または禁止するパケットの種類(特定の IP あるいはポートで指定)を指定するルールを設定する必要がある.  <ITEM><bf>境界ネットワーク(perimeter network):</bf> セキュリティの層を追加するために, 保護されたネットワークと外部ネットワークとの間に作るネットワーク. 境界ネットワークは非武装地帯(DMZ, demilitarized zone)と呼ばれることもある.  <ITEM><bf>代理サーバ(proxy server):</bf> 内部クライアントに外部サーバへアクセスさせるためのプログラム. クライアントは代理サーバにアクセスし, 代理サーバは, クライアントの許可したリクエストを実際のサーバに中継し, その応答をクライアントに中継する.  <ITEM><bf>ユーパーユーザ(superuser):</bf> <tt>root</tt> の通称. </ITEMIZE>   <SECT> よくある質問<label id="q-and-a"> <enum>  <ITEM> ドライバをカーネルに直接組み込むのと, モジュールとして作成するのでは, どちらが安全でしょうか?  回答: モジュールを用いたデバイスドライバのロード機能は無効にしておく方が良いという意見の人もいます. というのも, 侵入者がトロイの木馬を仕込んだモジュールやシステムのセキュリティに影響を与えるモジュールをロードするかもしれないからです.  しかし, モジュールを読み込むためには root にならなくてはなりません. モジュールのオブジェクトファイルを書き換えることができるのも root だけです. つまり, 侵入者がモジュールを組み込むためには, root 権限が必要です. 逆に侵入者が root 権限を得てしまったら, モジュールをロードするかどうかということよりも, もっと深刻な事態になります.  モジュールはあまり頻繁に使用しない特定デバイスを動的に読み込むための仕組みです. 例えばサーバマシンや防火壁などでは, こういうことはあまり起こりません. 従って, サーバとして動かすマシンでは, カーネルに直接ドライバを組み込む方が良いでしょう. また, モジュールを使うと直接カーネルに組み込む場合よりも動作が遅くなります.  <ITEM> リモートのマシンから root でログインできません.  回答: <ref id="root-security" name="root のセキュリティ">の章を読みましょう. これはリモートのユーザが <tt>telnet</tt> で <tt>root</tt> としてログインしようとするのを防ぐため, わざとそうしているのです. <tt>root</tt> として <tt>telnet</tt> でログインするのはセキュリティ的に非常に危険なことです. ルートのパスワードが平文のまま (暗号化されずに) ネットワークに送出されてしまうでしょう. 侵入者になる可能性を持った人は常にあなたのそばにいて, パスワードを盗むためのプログラムを自動的に動かしていることを忘れてはなりません.  <item> Red Hat Linux 4.2, 5.x でシャドウパスワードを使うにはどうすれば良いでしょう?  回答: シャドウパスワードを有効にするには, root で <tt>pwconv</tt> を実行します. <tt>/etc/shadow</tt> が存在し, アプリケーションがこれに対応していなければいけません. Red Hat 4.2 以降をご利用なら, 他に変更することなく, PAM モジュールが自動的に普通の <tt>/etc/passwd</tt> からシャドウパスワードへの移行に追従してくれます. 背景説明: シャドウパスワードは, 標準の <tt>/etc/passwd</tt> ファイル以外のファイルにパスワードを格納する機構です. これにはいくつかの利点があります. 最初の利点は, シャドウファイル <tt>/etc/shadow</tt> は誰でも読めなければならない <tt>/etc/passwd</tt> ファイルと異なり, root しか読み出せない点です. 別の利点は, 管理者として, 他のユーザアカウントの状態を誰にも知らせないまま, アカウントを有効または無効にできることです.  シャドウパスワードを使っていても, ユーザやグループ名の格納には <tt>/etc/passwd</tt> ファイルが使われます. このファイルは, <tt>/bin/ls</tt> 等のプログラムがディレクトリ表示の際にユーザ ID を適切なユーザ名に変換するために使います.  <tt>/etc/shadow</tt> ファイルには, ユーザ名とパスワードとアカウントの有効期限などのアカウント情報だけが含まれています.  シャドウパスワードを有効にするためには, root になって <tt>pwconv</tt> コマンドをを実行します. すると <tt>/etc/shadow</tt> ファイルが作られ, アプリケーションに使われるようになります. Red Hat 4.2 以降では, 通常の <tt>/etc/passwd</tt> ファイルからシャドウパスワードへの変更への適合は PAM モジュールが自動的に行います. 他の変更は全く必要ありません.  パスワードの安全を考えていれば, たぶんパスワードも最初から良いものを作ろうと思うでしょう. これを行うために PAM の一部である `pam_cracklib' モジュールが利用できます. これはパスワードに対して Crack ライブラリを適用し, パスワードクラッキングプログラムによって簡単に推測されないかどうか調べることができます.  <item> Apache の SSL 拡張はどうやって有効にするのですか?  回答:  <enum> <item>バージョン 0.8.0 以降の SSLeay を <url url="ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL"> から入手します <item>これをコンパイル, テスト, そしてインストールします <item>Apache 1.2.5 のソースを入手します <url url="ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz" name="ここ"> から Apache SSLeay 拡張を入手します <item>これを Apache 1.2.5 のソースディレクトリで展開し, README に従ってパッチを当てます <item>設定とコンパイルを行います </enum>  <htmlurl url="http://www.zedz.com" name="ZEDZ net"> から各種バイナリパッケージを入手することもできます. これはアメリカ国外にあります.  <item> セキュリティを確保したままで, ユーザアカウントを処理するにはどうすれば良いでしょう?  回答: Red Hat ディストリビューション, 特に Red Hat 5.0 には, ユーザアカウントの状態を変更するツールがたくさん入っています.  <ITEMIZE> <ITEM>シャドウパスワードと非シャドウパスワードを相互変換する <tt>pwconv</tt> と <tt>unpwconv</tt> <ITEM><tt>passwd</tt> ファイルと <tt>group</tt> ファイルの構成が正しいかどうか検査する <tt>pwck</tt> と <tt>grpck</tt> <ITEM>ユーザアカウントの追加, 削除, 変更を行う <tt>useradd</tt>, <tt>usermod</tt>, <tt>userdel</tt>. グループについて同様の作業を行うための <tt>groupadd</tt>, <tt>gropumod</tt>, <tt>groupdel</tt> <ITEM>グループにパスワードを設定する <tt>gpasswd</tt> </ITEMIZE>  これらのプログラムは全て「シャドウ対応」です. つまり, シャドウパスワードが有効であれば, <tt>/etc/shadow</tt> のパスワード情報を参照し, 有効でなければこのファイルは参照しません.  詳しくは, それぞれのコマンドのオンラインマニュアルを参照してください.  <item> Apache で特定の HTML をパスワードで保護するにはどうすればよいでしょうか?  <htmlurl url="http://www.apacheweek.com" name="http://www.apacheweek.org"> のことをご存じないでしょう?  ユーザ認証については, <htmlurl url="http://www.apacheweek.com/features/userauth" name="http://www.apacheweek.com/features/userauth"> に情報がありますし, ウェブサーバに関するその他のヒントも <htmlurl url="http://www.apache.org/docs/misc/security_tips.html" name="http://www.apache.org/docs/misc/security_tips.html"> にあります. </enum>   <SECT> まとめ<label id="conclusion">  セキュリティに関する警告が流れるメーリングリストを購読することと, 最新のソフトウェアを使うことによって, セキュリティを大幅に向上させることができます. ログファイルに注意を払い, <tt>tripwire</tt> のようなプログラムを定期的に実行すればもっと良いでしょう.  家庭のマシンを管理する分には, 十分なレベルのセキュリティも困難ではありません. 仕事に使うマシンではかなり努力が必要でしょうが, Linux はかなり安全なプラットフォームです. Linux の開発の特徴により, セキュリティ関連の修正が商用の OS よりもずっと早いことが多々あり, このため Linux はセキュリティが必要な場合には理想的なプラットフォームになっています.   <SECT> 謝辞  本ドキュメントの情報はいろいろな所から集めたものです. 直接・間接的に貢献してくださった以下の方々に感謝します:  <tscreen> Rob Riggs さん <htmlurl url="mailto:rob@DevilsThumb.com" name="rob@DevilsThumb.com"> S. Coffin さん <htmlurl url="mailto:scoffin@netcom.com" name="scoffin@netcom.com"> Viktor Przebinda さん <htmlurl url="mailto:viktor@CRYSTAL.MATH.ou.edu" name="viktor@CRYSTAL.MATH.ou.edu"> Roelof Osinga さん <htmlurl url="mailto:roelof@eboa.com" name="roelof@eboa.com"> Kyle Hasselbacher さん <htmlurl url="mailto:kyle@carefree.quux.soltec.net" name="kyle@carefree.quux.soltc.net"> David S. Jackson さん <htmlurl url="mailto:dsj@dsj.net" name="dsj@dsj.net"> Todd G. Ruskell さん <htmlurl url="mailto:ruskell@boulder.nist.gov" name="ruskell@boulder.nist.gov"> Rogier Wolff さん <htmlurl url="mailto:R.E.Wolff@BitWizard.nl" name="R.E.Wolff@BitWizard.nl"> Antonomasia さん <htmlurl url="mailto:ant@notatla.demon.co.uk" name="ant@notatla.demon.co.uk"> Nic Bellamy さん <htmlurl url="mailto:sky@wibble.net" name="sky@wibble.net"> Eric Hanchrow さん <htmlurl url="mailto:offby1@blarg.net" name="offby1@blarg.net"> Robert J. Berger さん<htmlurl url="mailto:rberger@ibd.com" name="rberger@ibd.com"> Ulrich Alpers さん <htmlurl url="mailto:lurchi@cdrom.uni-stuttgart.de" name="lurchi@cdrom.uni-stuttgart.de"> David Noha さん <htmlurl url="mailto:dave@c-c-s.com" name="dave@c-c-s.com"> Pavel Epifanov さん <htmlurl url="mailto:epv@ibm.net" name="epv@ibm.net"> Joe Germuska さん <htmlurl url="mailto:joe@germuska.com" name="joe@germuska.com"> Franklin S. Werren さん <htmlurl url="mailto:fswerren@bagpipes.net" name="fswerren@bagpipes.net"> Paul Rusty Russell さん <htmlurl url="mailto:Paul.Russell@rustcorp.com.au" name="<Paul.Russell@rustcorp.com.au>"> Christine Gaunt さん <htmlurl url="mailto:cgaunt@umich.edu" name="<cgaunt@umich.edu>"> lin さん <htmlurl url="mailto:bhewitt@refmntutl01.afsc.noaa.gov" name="bhewitt@refmntutl01.afsc.noaa.gov"> A. Steinmetz さん <htmlurl url="mailto:astmail@yahoo.com" name="astmail@yahoo.com"> 森本淳さん <morimoto@xantia.citroen.org> Xiaotian Sun さん <htmlurl url="mailto:sunx@newton.me.berkeley.edu" name="sunx@newton.me.berkeley.edu"> Eric Hanchrow さん <htmlurl url="mailto:offby1@blarg.net" name="offby1@blarg.net"> 以下の方々はこの HOWTO を色々な言葉に翻訳してくださいました! Linux の言葉を広める手伝いをしてくださる全ての方々に深く感謝します. ポーランド語: Ziemek Borowski さん <htmlurl url="mailto:ziembor@FAQ-bot.ZiemBor.Waw.PL" name="ziembor@FAQ-bot.ZiemBor.Waw.PL"> 日本語: 藤原輝嘉 <htmlurl url="mailto:fjwr@mtj.biglobe.ne.jp" name="fjwr@mtj.biglobe.ne.jp"> インドネシア語: Tedi Heriyanto さん <htmlurl url="mailto:22941219@students.ukdw.ac.id" name="22941219@students.ukdw.ac.id"> 韓国語: Bume Chang さん <htmlurl url="mailto:Boxcar0001@aol.com" name="Boxcar0001@aol.com"> スペイン語: Juan Carlos Fernandez さん <htmlurl url="mailto:piwiman@visionnetware.com" name="piwiman@visionnetware.com"> オランダ語: R. Ekkebus さん <htmlurl url="mailto:reggy@zeelandnet.nl" name="reggy@zeelandnet.nl"> </tscreen>  </article>